2020年1月17日には、私たちは春を監視し、正式に脆弱性CVE-2020から5398の脆弱性の警告の高いレベルをリリースしました。
スプリングフレームワーク(前のバージョン5.1.13および5.0.16前5.0.xにする前に5.2.xでは5.2.xではバージョン、5.1.xのバージョン)において、アプリケーションは、脆弱な反射ファイルダウンロード(RFD)攻撃です。ここで、ユーザによって提供される入力ファイル名から属性により応答での「Content-処分」レスポンスヘッダを設定することで攻撃。
私たちは、脆弱性の高い、大きな被害/影響と考えています。私たちは、春のMVCやSpring WebFluxユーザーがハッキングされるのを避けるために、タイムリーに最新のパッチをインストールをお勧めします。
影響を受けるバージョン
- 5.2.0に5.2.2
- 5.1.0への5.1.12
- 5.0.0への5.0.15
ソリューション
春のフレームワーク5.2.3にアップグレードするには春のフレームワーク5.2.xでは、ユーザーをお勧めします。春のフレームワーク5.1.xのユーザーは、春のフレームワーク5.1.13にアップグレードする必要があります。春のフレームワーク5.0.xのユーザーは、春のフレームワーク5.0.16にアップグレードする必要があります。