一、概要

近日，華為云關(guān)注到Spring Cloud Config官方發(fā)布安全公告，披露在Spring Cloud Config 2.1.0~2.1.8、2.2.0 ~ 2.2.2版本中存在一處目錄遍歷漏洞（CVE-2020-5410），遠(yuǎn)程攻擊者可以通過發(fā)送一個特制的HTTP請求，造成任意文件讀取。

華為云提醒使用Spring Cloud Config的用戶及時安排自檢并做好安全加固。

參考鏈接：https://tanzu.vmware.com/security/cve-2020-5410

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Spring Cloud Config: 2.2.0 ~ 2.2.2

Spring Cloud Config: 2.1.0 ~ 2.1.8

安全版本：

Spring Cloud Config 2.2.3

Spring Cloud Config 2.1.9

四、漏洞處置

目前，官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

下載地址：https://github.com/spring-cloud/spring-cloud-config/releases

官方提示spring-cloud-config-server應(yīng)該僅在內(nèi)部網(wǎng)絡(luò)上供需要它的客戶端使用，并且應(yīng)使用Spring Security進(jìn)行身份驗(yàn)證。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。