领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring安全公告
CVE-2020-5421:通过jsessionid绕过RFD保护
描述
在Spring Framework 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28以及更旧的无支持版本中,针对CVE-2015-5211的RFD攻击保护可能会被绕过,具体取决于通过使用jsessionid路径参数使用的浏览器。
受影响的Spring产品和版本
- Spring Framework
- 5.2.0 至 5.2.8
- 5.1.0 至 5.1.17
- 5.0.0 至 5.0.18
- 4.3.0 至 4.3.28
- 更旧的、不受支持的版本
缓解措施
- Spring Framework
- 5.2.9
- 5.1.18
- 5.0.19
- 4.3.29
鸣谢
此问题由Keitaro Yamazaki / Ierae Security识别并负责任地报告。
参考
历史
- 2020-09-17:发布初始漏洞报告。
报告漏洞
要报告Spring产品组合中项目的安全漏洞,请参阅安全策略