一、综述
近日,VMwareTanzu发布安全公告,公布了一个存在于SpringFramework中的反射型文件下载(ReflectedFileDownload,RFD)漏洞CVE--。CVE--可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对CVE--添加的。
攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。
官方已发布修复了漏洞的新版本。
SpringFramework是Java平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为Spring。
参考链接: