描述

Spring Cloud Config 的 2.2.x 版本（2.2.3 之前）、2.1.x 版本（2.1.9 之前）以及更早的旧版本（不受支持）允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以通过精心构造的 URL 发送请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Cloud Config
  • 2.2.0 至 2.2.2
  • 2.1.0 至 2.1.8

缓解措施

受影响版本的用户应采取以下缓解措施。旧版本应升级到受支持的分支。无需其他缓解措施。请注意，spring-cloud-config-server 应仅对需要它的客户端在内部网络中可用，并且应通过 Spring Security 进行保护，这会将此漏洞的暴露范围限制在有内部网络访问权限的人员以及具有适当身份验证的用户。

• Spring Cloud Config
  • 2.2.3
  • 2.1.9

致谢

该问题由 Fei Lu ([email protected]) 和 [email protected] 发现并负责任地报告。

参考资料

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

历史

• 2020-05-15：首次发布漏洞报告。
• 2020-06-01：将版本更新至 2.1.9 并增加致谢。