一、概要

近日，華為云關(guān)注到Spring Framework爆出存在新的反射型文件下載漏洞（CVE-2020-5421），漏洞可通過 jsessionid 路徑參數(shù)，繞過防御 RFD 攻擊的保護(hù)。攻擊者利用漏洞使用戶下載惡意文件，從而危害用戶終端。

華為云提醒使用Spring Framework的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://tanzu.vmware.com/security/cve-2020-5421

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Spring Framework 5.2.0 - 5.2.8

Spring Framework 5.1.0 - 5.1.17

Spring Framework 5.0.0 - 5.0.18

Spring Framework 4.3.0 - 4.3.28

安全版本:

Spring Framework 5.2.9

Spring Framework 5.1.18

Spring Framework 5.0.19

Spring Framework 4.3.29

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶升級至安全版本。

下載地址：https://github.com/spring-projects/spring-framework/releases

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。