CVE-2019-3799spring-cloud-config 目录穿越漏洞复现 目前受影响的 Spring Cloud Config 版本: Spring Cloud Config 2.1.0 ~ 2.1.1Spring Cloud Config 2.0.0 ~ 2.0.3Spring Clou
CVE-2019-3799漏洞原理:由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个..%252f进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 官方修复补丁如下: 通过补丁对比发现,官方最新版本加入了isInvalidEncodedPath方法,对传入的url进行判断,若存在%,则对传入的url进行url解码。...
2019年4月17日,阿里云云盾应急响应中心监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。 漏洞描述 Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联...
Spring Cloud Config目录遍历漏洞(CVE-2019-3799)预警 漏洞 Spring Cloud Config目录遍历漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置... 深信服千里目安全技术中心 610451围观 · 1收藏 · 6喜欢 2019-04-22热门会员 换一换 hook 114人关注 · 17篇文章 腾讯安全 86人关注 · 728...
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。 Spring产品介绍 Spring是一个Java/Java EE/.NET的分层...
近日,Spring官方团队在最新的安全更新中披露了一则SpringCloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。 Spring产品介绍 Spring是一个Java/Java EE/.NET的分层...
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。 Spring产品介绍 Spring是一个Java/Java EE/.NET的分层...
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。 Spring产品介绍 Spring是一个Java/Java EE/.NET的分层...