領先一步
VMware 提供訓練和認證,可加速您的進度。
瞭解更多Spring Security 安全建議
CVE-2020-5427:Spring Cloud Data Flow 工作執行排序查詢中存在 SQL 注入的可能性
描述
在 Spring Cloud Data Flow 中,2.6.x 版本 (在 2.6.5 之前) 和 2.5.x 版本 (在 2.5.4 之前) 的應用程式在請求工作執行時,容易受到 SQL 注入的攻擊。
受影響的 Spring 產品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
緩解措施
使用者應升級至 2.5.4 及更高版本。已修復此問題的版本包括
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
致謝
此問題由來自 CHECK24 Factory GmbH 的 Sufijen Bani 發現並負責任地回報。
參考資料
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
歷史記錄
- 2020-12-01:發布 2.7.0 版本,包含修復
- 2020-11-24:發布 2.6.x 系列的修復
- 2020-10-30:初步識別出漏洞。
回報漏洞
若要回報 Spring 產品組合中專案的安全漏洞,請參閱安全性原則