关联漏洞
标题:VMware Spring Cloud Config 路径遍历漏洞 (CVE-2020-5410)Description:VMware Spring Cloud Config是美国威睿(VMware)公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 VMware Spring Cloud Config 2.2.3之前的2.2.x版本、2.1.9之前的2.1.x版本和不再受支持的旧版本中的Spring-cloud-config-server模块存在路径遍历漏洞,该漏洞源于程序没有正确验证用户请求。攻击者可借助特制URL利用该漏洞查看系统上的任意文件。
Description
Spring Cloud Config Server versions 2.2.x prior to 2.2.3, versions 2.1.x prior to 2.1.9, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user or attacker can send a request using a specially crafted URL that can lead to a local file inclusion attack.
文件快照
id: CVE-2020-5410
info:
name: Spring Cloud Config Server - Local File Inclusion
author: maveric
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。