问题

Spring 框架反射型文件下载漏洞 (CVE-2020-5421)CVSS评分6.5
漏洞详情
漏洞名称	
Spring 框架反射型文件下载漏洞 (CVE-2020-5421)
漏洞标签	
存在EXP
漏洞类型	
应用漏洞
威胁等级	高危
CVE编号	
CVE-2020-5421
披露时间	
2020-09-21 00:00:00
漏洞描述	
VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。
CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。
攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现，一般被直接称为 Spring。

处理方式：

根据springboot依赖springframework版本关系将springboot版本更换到新版本

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.3.11.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>