Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案

一、综述

近日，VMware Tanzu发布安全公告，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。

攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。

官方已发布修复了漏洞的新版本。

二、影响范围

受影响产品版本

Spring Framework 5.2.0 – 5.2.8Spring Framework 5.1.0 – 5.1.17Spring Framework 5.0.0 – 5.0.18Spring Framework 4.3.0 – 4.3.28以及其他已不受支持的版本

不受影响产品版本

Spring Framework 5.2.9Spring Framework 5.1.18Spring Framework 5.0.19Spring Framework 4.3.29

三、解决方案

官方已发布修复了漏洞的新版本，建议相关用户尽快升级进行防护。

spring boot 升级到最新版本 2.3.4.RELEASE ，依赖Spring Framework 5.2.9

https://docs.spring.io/spring-boot/docs/2.3.4.RELEASE/reference/html/appendix-dependency-versions.html#dependency-versions