Spring Security 安全性公告

所有公告

CVE-2020-5421:透過 jsessionid 繞過 RFD 保護

| 2020 年 9 月 17 日 | CVE-2020-5421

描述

在 Spring Framework 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更舊的不受支援版本中,取決於使用的瀏覽器,透過使用 jsessionid 路徑參數,可能會繞過 CVE-2015-5211 對 RFD 攻擊的保護。

受影響的 Spring 產品和版本

  • Spring Framework
    • 5.2.0 到 5.2.8
    • 5.1.0 到 5.1.17
    • 5.0.0 到 5.0.18
    • 4.3.0 到 4.3.28
    • 較舊,不受支援的版本

緩解措施

  • Spring Framework
    • 5.2.9
    • 5.1.18
    • 5.0.19
    • 4.3.29

致謝

此問題由 Keitaro Yamazaki / Ierae Security 發現並負責任地回報。

參考資料

歷史紀錄

  • 2020-09-17:發布初始漏洞報告。

回報漏洞

若要回報 Spring Portfolio 中專案的安全性漏洞,請參閱安全性原則

領先一步

VMware 提供訓練和認證,以加速您的進度。

瞭解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中,提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔。

瞭解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部