Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

背景信息:

2019年4月17日,监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。

漏洞描述:

Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露。

漏洞定级:

高危

漏洞影响范围:

  1. 2.1.x系列:< 2.1.2
  2. 2.0.x系列:< 2.0.4
  3. 1.4.x系列:< 1.4.6
  4. 其他较早版本

漏洞不影响范围:

  1. 2.1.x系列:2.1.2 及以上
  2. 2.0.x系列:2.0.4 及以上
  3. 1.4.x系列:1.4.6 及以上

漏洞处置建议:

升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
NetSarang的Xmanager和Xshell多种产品被植入后门风险预警
漏洞描述: 国外著名的远程管理软件公司NetSarang旗下多款客户端连接软件产品(Xmanager、Xshell、Xftp 和 Xlpd)被曝植入后门,存在敏感信息数据泄露风险。 漏洞定级: 高危 漏洞影响范围: 受影响版本:Xman …
Drupal内核远程代码执行漏洞(CVE-2018-7602)
漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全 …
Struts2 REST插件远程执行命令漏洞(S2-052)
漏洞描述: 2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 …
Spring Data Commons组件远程代码执行漏洞(CVE-2018-1273)
漏洞描述: 2018年4月11日,Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s pr …
致远OA 办公系统存在远程代码执行漏洞
漏洞描述: 2019年6月26日,有社区媒体披露了致远OA 办公系统远程代码执行漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。 致远OA htmlofficeservlet HTTP接口 …
拿起手机扫一扫即可带走我!