CVE-2020-5405:Spring-cloud-config-server路径遍历漏洞

iso60001  1732天前

近期,国内安全研究人员(绿盟)发现了spring-cloud-config-server组件存在的路径遍历漏洞,攻击者可利用此漏洞遍历目录,非法读取文件内容。

Spring Cloud Config为分布式系统的外部配置提供了服务端和客户端的支持方案,分为server端和client端。server端为分布式配置中心,是一个独立的微服务应用;client端为分布式系统中的基础设置或微服务应用,通过指定配置中心来管理相关的配置。

dd.png

概况

因为Spring Cloud Config 与Spring Eureka常常配合使用,因此依据Eureka的数量大致推测Cloud Config的数量。根据目前FOFA系统最新数据(一年内数据),因为显示全球范围内共有14578个Eureka服务对外开放。中国大陆使用数量最多,共有11545个,美国第二,共有1461个,中国香港第三,共有295个,新加坡第四,共有225个,德国第五,共有220个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

aa.png

中国大陆地区浙江省使用数量最多,共有7042个,北京市第二,共有2268个,广东省第三,共有644个,上海市第四,共有220个,江苏省第五,共有137个。

bb.png

危害等级

中等

漏洞影响

2.2.2之前的2.2.x版本

2.1.7之前的2.1.x版本

漏洞编号

CVE-2020-5405

修复建议

官方已发布了最新版本,请管理员尽快升级。

参考

[1] https://mp.weixin.qq.com/s/X21Z5KIs8e_LWMPUwU56xQ

[2] https://mp.weixin.qq.com/s/sBG-hSzmUde2SF7ZdsF5GQ

[3] https://www.cnblogs.com/tqlin/p/11401870.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论