转载

Spring Framework 反射型文件下载漏洞CVE-2020-5398

Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射型文件下载漏洞。此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测，攻击者可以通过截断的方式控制filename变量值，下载任意格式的文件。

漏洞名称：Spring Framework 反射型文件下载漏洞CVE-2020-5398

威胁等级：高危

影响范围：

Spring Framework 5.2.0 - 5.2.2

Spring Framework 5.1.0 - 5.1.12

Spring Framework 5.0.0 - 5.0.15

漏洞类型：反射型文件下载

利用难度：简单

漏洞分析

1 Spring组件介绍

Spring是一个Java/Java EE/.NET的分层应用程序框架。它是一个基于IOC和AOP构架多层J2EE系统的开源框架，模块化好且实现了很优雅的MVC，对不同的数据访问技术提供了统一的接口。此外它采用的IOC可以很容易的实现Bean的装配，提供的AOP简洁易用并据此实现了Transaction Management等功能。Spring 提供简易的开发方式，这种开发方式，将避免那些可能致使底层代码变得繁杂混乱的大量属性文件和帮助类。目前此框架的使用非常活跃。

2 漏洞描述

此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测，攻击者可以通过截断的方式控制filename变量值，下载任意格式的文件。

漏洞点存在于ContentDisposition.java 中，SpringFramework对于响应包中http头部的Content-Disposition字段没有严格的检测。漏洞修复补丁如下图：

Spring Framework 反射型文件下载漏洞CVE-2020-5398

旧版本对于filename变量的处理只是简单的通过双引号分割的方式获取用户传入的filename变量值，攻击者可以通过构造闭合双引号的方式，截断双引号后面的字符串，从而达到控制文件名的目的。新版本中添加escapeQuotationsInFilename方法限制了filename中双引号的危害，escapeQuotationsInFilename方法会将filename中的字符串逐一检测，如果存在双引号，则用注释符注释双引号，从而破坏了双引号的功能。