关联漏洞
标题:
VMware Spring Cloud Netflix 安全漏洞
(CVE-2020-5412)
描述:Vmware VMware Spring Cloud Netflix是美国威睿(Vmware)公司的一个服务。通过自动配置和绑定到 Spring Environment 和其他 Spring 编程模型习语,为 Spring Boot 应用程序提供 Netflix OSS 集成。 VMware Spring Cloud Netflix 2.2.4之前的2.2.x版本、2.1.6之前的2.1.x版本及不在支持的老版本中存在安全漏洞。攻击者可利用该漏洞向其他服务器(未向外部公开)发送请求。
描述
Spring Cloud Netflix 2.2.x prior to 2.2.4, 2.1.x prior to 2.1.6, and older unsupported versions are susceptible to server-side request forgery. Applications can use the Hystrix Dashboard proxy.stream endpoint to make requests to any server reachable by the server hosting the dashboard. An attacker can send a request to other servers and thus potentially access sensitive information, modify data, and/or execute unauthorized operations.
文件快照
id: CVE-2020-5412
info:
name: Spring Cloud Netflix - Server-Side Request Forgery
author: dwisis
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。