描述

Spring Cloud Config 2.1.x 版本（低于 2.1.2）、2.0.x 版本（低于 2.0.4）、1.4.x 版本（低于 1.4.6）以及更旧的不受支持版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以使用精心设计的 URL 发送请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Cloud Config 2.1.0 到 2.1.1
• Spring Cloud Config 2.0.0 到 2.0.3
• Spring Cloud Config 1.4.0 到 1.4.5
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.1.x 用户应升级到 2.1.2
• 2.0.x 用户应升级到 2.0.4
• 1.4.x 用户应升级到 1.4.6
• 旧版本应升级到受支持的分支
• 请注意，spring-cloud-config-server 应该仅在内部网络上提供给需要它的客户端，并且应该使用 Spring Security 进行保护。这会将此漏洞暴露范围限制为具有内部网络访问权限以及具有适当身份验证的用户。

致谢

此问题由平安银河实验室的 Vern（[email protected]）发现并负责任地报告。

参考

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security'>保护 Spring Cloud Config Server 文档。

历史

2019-04-16：发布初始漏洞报告。