服务公告

全部公告 > 安全公告 > Spring Framework反射型文件下载漏洞（CVE-2020-5421）

Spring Framework反射型文件下载漏洞（CVE-2020-5421）

一、概要

近日，华为云关注到Spring Framework爆出存在新的反射型文件下载漏洞（CVE-2020-5421），漏洞可通过 jsessionid 路径参数，绕过防御 RFD 攻击的保护。攻击者利用漏洞使用户下载恶意文件，从而危害用户终端。

华为云提醒使用Spring Framework的用户及时安排自检并做好安全加固。

参考链接：

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Spring Framework 5.2.0 - 5.2.8

Spring Framework 5.1.0 - 5.1.17

Spring Framework 5.0.0 - 5.0.18

Spring Framework 4.3.0 - 4.3.28

安全版本:

Spring Framework 5.2.9

Spring Framework 5.1.18

Spring Framework 5.0.19

Spring Framework 4.3.29

四、漏洞处置

目前官方已在最新版本中修复了该漏洞，请受影响的用户升级至安全版本。