领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2020-5427: Spring Cloud Data Flow 任务执行排序查询中可能存在 SQL 注入
描述
在 Spring Cloud Data Flow 2.6.x 2.6.5 版本之前,2.5.x 2.5.4 版本之前,当请求任务执行时,应用程序容易受到 SQL 注入攻击。
受影响的 Spring 产品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
缓解措施
用户应升级到 2.5.4 及更高版本。已修复此问题的版本包括
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
致谢
此问题由 CHECK24 Factory GmbH 的 Sufijen Bani 发现并负责任地报告。
参考资料
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
历史
- 2020-12-01: 发布 2.7.0 版本并修复
- 2020-11-24: 发布 2.6.x 版本的修复
- 2020-10-30: 初步发现漏洞。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略