讨论区 » AAS-V9企业版 » AAS-V9企业版安全测评专区 »
由 lv pengqin 在 大约 3 年 之前添加
异常信息:
/opt/AAS/domains/mydomain/deploy/.system/webtool.war/tmpfiles/docroot/WEB-INF/lib/spring-core-4.3.18.RELEASE.jar
漏洞描述:
Spring是一个分层的轻量级开源框架。Spring 存在反射型文件下载漏洞,攻击者可通过jsessionid路径参数绕过防御RFD攻击的保护,通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件。
受影响的版本:
Spring <= 4.3.28,5.0.0 - 5.0.18,5.1.0 - 5.1.17,5.2.0 - 5.2.8
修复建议:
将 Spring 升级到 4.3.29、5.0.19、5.1.18、5.2.9及以上版本
V9版本信息:2021年7月份
解决方案:
将附件中的webtool.war替换掉V9根目录/lib的同名包,并重启V9即可。
| webtool.war (25.2 MB) webtool.war |