VULHUB ™

描述 Spring Cloud Config，2.1.2之前的2.1.x版本，2.0.4之前的版本2.0.x以及1.4.6之前的版本1.4.x以及较旧的不受支持的版本允许应用程序通过spring提供任意配置文件 - cloud-config-server模块。恶意用户或攻击者可以使用可能导致目录遍历攻击的特制URL发送请求。 受影响的关键产品和版本 除非另有说明，否则严重程度很高。 Spring Cloud Config 2.1.0到2.1.1 Spring Cloud Config 2.0.0到2.0.3 Spring Cloud Config 1.4.0到1.4.5 较旧的不受支持的版本也会受到影响 减轻 受影响版本的用户应该应用以下缓解措施： 2.1.x用户应升级到2.1.2 2.0.x用户应升级到2.0.4 1.4.x用户应升级到1.4.6 旧版本应升级到支持的分支 请注意，spring-cloud-config-server应仅在内部网络上可用于需要它的客户端，并且应该使用Spring Security进行保护，这可以将此漏洞暴露给具有内部网络访问权限的用户和具有适当身份验证的用户。

描述 Spring Cloud Config，2.1.2之前的2.1.x版本，2.0.4之前的版本2.0.x以及1.4.6之前的版本1.4.x以及较旧的不受支持的版本允许应用程序通过spring提供任意配置文件 - cloud-config-server模块。恶意用户或攻击者可以使用可能导致目录遍历攻击的特制URL发送请求。 受影响的关键产品和版本 除非另有说明，否则严重程度很高。 Spring Cloud Config 2.1.0到2.1.1 Spring Cloud Config 2.0.0到2.0.3 Spring Cloud Config 1.4.0到1.4.5 较旧的不受支持的版本也会受到影响 减轻 受影响版本的用户应该应用以下缓解措施： 2.1.x用户应升级到2.1.2 2.0.x用户应升级到2.0.4 1.4.x用户应升级到1.4.6 旧版本应升级到支持的分支 请注意，spring-cloud-config-server应仅在内部网络上可用于需要它的客户端，并且应该使用Spring Security进行保护，这可以将此漏洞暴露给具有内部网络访问权限的用户和具有适当身份验证的用户。