Spring Security 公告

RSS feed

CVE-2020-5421:通过 jsessionid 绕过 RFD 保护

| 2020 年 9 月 17 日 | CVE-2020-5421

描述

在 Spring Framework 版本 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更早的不受支持的版本中,通过使用 jsessionid 路径参数,可能会绕过 CVE-2015-5211 中的 RFD 攻击保护,具体取决于所使用的浏览器。

受影响的 Spring 产品和版本

  • Spring Framework
    • 5.2.0 到 5.2.8
    • 5.1.0 到 5.1.17
    • 5.0.0 到 5.0.18
    • 4.3.0 到 4.3.28
    • 更旧的,不受支持的版本

缓解措施

  • Spring Framework
    • 5.2.9
    • 5.1.18
    • 5.0.19
    • 4.3.29

鸣谢

这个问题由 Keitaro Yamazaki / Ierae Security 发现并负责任地报告。

参考

历史

  • 2020-09-17:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部