【漏洞详情】

平安云安全中心监控到Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历漏洞通报( CVE-2020-5410)。当通过Spring Cloud Config Server模块处理目录遍历序列时，由于服务端对输入信息存在校验错误，远程攻击者可通过发送一个特别设计的HTTP请求读取服务端任意文件。

【风险评级】

高危

【影响范围】

l  Spring Cloud Config  2.2.0 - 2.2.2

l  Spring Cloud Config  2.1.0 - 2.1.8

【修复建议】

目前厂商已发布升级补丁修复漏洞，建议用户依据实际业务评估漏洞影响，升级官方最新安全版本。

安全版本下载链接：https://github.com/spring-cloud/spring-cloud-config/releases。

【参考链接】

https://tanzu.vmware.com/security/cve-2020-5410

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年6月3日