领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2020-5421:通过 jsessionid 绕过 RFD 保护
描述
在 Spring Framework 的 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更早的不受支持的版本中,根据所使用的浏览器,通过使用 jsessionid 路径参数可能会绕过 CVE-2015-5211 的 RFD 攻击防护。
受影响的 Spring 产品和版本
- Spring Framework
- 5.2.0 至 5.2.8
- 5.1.0 至 5.1.17
- 5.0.0 至 5.0.18
- 4.3.0 至 4.3.28
- 更早的不受支持的版本
缓解措施
- Spring Framework
- 5.2.9
- 5.1.18
- 5.0.19
- 4.3.29
致谢
此问题由 Keitaro Yamazaki / Ierae Security 发现并负责任地报告。
参考资料
历史
- 2020-09-17:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略