描述

Spring Cloud Config 的 2.2.x 版本（2.2.2 之前）、2.1.x 版本（2.1.7 之前）以及更早的旧版本，允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以通过发送包含特制 URL 的请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

Spring Cloud Config
- 2.2.0 至 2.2.1
- 2.1.0 至 2.1.6

缓解措施

受影响版本的用户应采取以下缓解措施：2.2.x 用户应升级到 2.2.2 版本，2.1.x 用户应升级到 2.1.7 版本。旧版本应升级到受支持的分支。无需其他缓解措施。请注意，spring-cloud-config-server 应仅供需要它的客户端通过内部网络访问，并且应使用 Spring Security 进行保护，这可以限制此漏洞暴露给具有内部网络访问权限的用户以及经过适当身份验证的用户。已修复此问题的发布版本包括：