描述

Spring Cloud Config 2.2.x 版本（低于 2.2.2），2.1.x 版本（低于 2.1.7）以及更旧的、不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以发送使用特制 URL 的请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Cloud Config
  • 2.2.0 至 2.2.1
  • 2.1.0 至 2.1.6

缓解措施

受影响版本的使用者应采取以下缓解措施：2.2.x 用户应升级到 2.2.2，2.1.x 用户应升级到 2.1.7。较旧的版本应升级到受支持的分支。没有其他必要的缓解措施。请注意，spring-cloud-config-server 仅应在内部网络上对需要它的客户端可用，并且应使用 Spring Security 进行保护，这将此漏洞的暴露限制在具有内部网络访问权限的用户和具有正确身份验证的用户。已修复此问题的版本包括

• Spring Cloud Config
  • 2.2.2
  • 2.1.7

致谢

此问题由 NSFOCUS 安全团队的 Xiang Yiming（[email protected]）发现并负责任地报告。

参考

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

历史

• 2020-02-26：发布初始漏洞报告。