【安全通报】Spring Framework反射型文件下载漏洞（CVE-2020-5421）

Spring framework 是一个开源的 Java/Java EE 全功能栈（full-stack）的应用程序框架，以 Apache 许可证形式发布，也有 .NET 平台上的移植版本。Spring framework 提供了一个简易的开发方式，这种开发方式可以避免那些可能致使底层代码变得繁杂混乱的属性文件和帮助类。

9月17日，VMware Tanzu 发布安全公告，公布了一个存在于 Spring fr amework 中的反射型文件下载（Reflected File Download,RFD）漏洞 CVE-2020-5421。CVE-2020-5421 可通过 jsessionid 路径参数，绕过防御 RFD 攻击的保护。之前针对 RFD 的防护是为应对 CVE-2015-5211 添加的。

CVE 编号

CVE-2020-5421

影响范围

• Spring framework 5.2.0 – 5.2.8

• Spring framework 5.1.0 – 5.1.17

• Spring framework 5.0.0 – 5.0.18

• Spring framework 4.3.0 – 4.3.28

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Spring"）共有 8,627 个相关服务对外开放。中国使用数量最多，共有 3,697 个；美国第二，共有 2,594 个；德国第三，共有 292 个；加拿大第四，共有 244 个；爱尔兰第五，共有 194 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 508 个；北京第二，共有 330 个；上海第三，共有 185 个；广东第四，共有 68 个；山东第五，共有 39 个。

修复建议

1. 目前官方已针对以上漏洞发布了修复包，请受影响的用户尽快安装更新进行防护。

   下载链接：https://github.com/spring-projects/spring-fr amework/releases

参考

[1] https://tanzu.vmware.com/security/cve-2020-5421

[2] https://mp.weixin.qq.com/s/YUmxEYNgqPUdpxB__Tmx3A

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。