描述

Spring Cloud Config 2.1.x 版本（低于 2.1.2），2.0.x 版本（低于 2.0.4），1.4.x 版本（低于 1.4.6）以及更旧的已不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以使用特制的 URL 发送请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Cloud Config 2.1.0 至 2.1.1
• Spring Cloud Config 2.0.0 至 2.0.3
• Spring Cloud Config 1.4.0 至 1.4.5
• 更旧的已不受支持的版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 2.1.x 用户应升级到 2.1.2
• 2.0.x 用户应升级到 2.0.4
• 1.4.x 用户应升级到 1.4.6
• 旧版本应升级到受支持的分支
• 请注意，spring-cloud-config-server 应仅在内部网络中对需要它的客户端可用，并且应使用 Spring Security 进行保护，这将此漏洞的暴露限制在具有内部网络访问权限的用户和经过适当身份验证的用户。

鸣谢

此问题由 PingAn Galaxy Lab 的 Vern ([email protected]) 发现并负责任地报告。

参考

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security'>保护 Spring Cloud Config Server 文档。

历史

2019-04-16：发布初始漏洞报告。