漏洞信息
# 利用spring-cloud-config-server 实现目录穿越
## 漏洞概述
Spring Cloud Config在特定版本中存在一个漏洞,允许恶意用户通过spring-cloud-config-server模块访问任意配置文件,从而导致目录遍历攻击。
## 影响版本
- 2.1.x 版本(低于 2.1.2)
- 2.0.x 版本(低于 2.0.4)
- 1.4.x 版本(低于 1.4.6)
- 更早的不支持的版本
## 漏洞细节
恶意用户可以通过构造特殊的URL来发送请求,这样可以使服务暴露其不应该公开的任意配置文件内容,进而导致目录遍历攻击。
## 漏洞影响
此漏洞可能导致敏感配置文件泄露,攻击者可以访问和读取服务器上的任意文件,从而危害系统的安全性和稳定性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Directory Traversal with spring-cloud-config-server
漏洞描述信息
Spring Cloud Config, versions 2.1.x prior to 2.1.2, versions 2.0.x prior to 2.0.4, and versions 1.4.x prior to 1.4.6, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead a directory traversal attack.
CVSS信息
N/A
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Pivotal Software Spring Cloud Config 路径遍历漏洞
漏洞描述信息
Pivotal Software Spring Cloud Config是美国Pivotal Software公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 Pivotal Software Spring Cloud Config中存在路径遍历漏洞,该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。以下版本受到影响:Spring Cloud Config 2.1.2之前的2.1.x版本,2.0.4
CVSS信息
N/A
漏洞类别
路径遍历