【风险详情】

   近日，Spring披露了Spring Cloud Config目录遍历高危漏洞（CVE-2019-3799），该漏洞允许应用程序通过spring-cloud-config-server模块获取任意配置文件，通过构造恶意URL，攻击者可以遍历服务器任意系统文件，风险较大。

【风险评级】

高危

【影响范围】

受影响的Spring Cloud Config 版本如下：

2.1.0 -- 2.1.1

2.0.0 -- 2.0.3

1.4.0 -- 1.4.5

【修复建议】

建议受影响的用户依据业务需求和实际漏洞风险评估，可按如下方案修复并执行安全加固：

1、升级Spring Cloud Config至安全版本，下载地址：https://github.com/spring-cloud/spring-cloud-config/releases；

2、依据Spring官方文档执行应用加固，参考链接：https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security。

【参考链接】

https://pivotal.io/security/cve-2019-3799

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。