一、概要

近日，华为云关注到Spring Cloud Config官方发布安全公告，披露在Spring Cloud Config 2.1.0~2.1.8、2.2.0 ~ 2.2.2版本中存在一处目录遍历漏洞（CVE-2020-5410），远程攻击者可以通过发送一个特制的HTTP请求，造成任意文件读取。

华为云提醒使用Spring Cloud Config的用户及时安排自检并做好安全加固。

参考链接：https://tanzu.vmware.com/security/cve-2020-5410

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Spring Cloud Config: 2.2.0 ~ 2.2.2

Spring Cloud Config: 2.1.0 ~ 2.1.8

安全版本：

Spring Cloud Config 2.2.3

Spring Cloud Config 2.1.9

四、漏洞处置

目前，官方已在最新版本中修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://github.com/spring-cloud/spring-cloud-config/releases

官方提示spring-cloud-config-server应该仅在内部网络上供需要它的客户端使用，并且应使用Spring Security进行身份验证。

注：修复漏洞前请将资料备份，并进行充分测试。