Fei Lu

**Nome do software vulnerável e versões afetadas: Versões 2.1.x do Spring Cloud Config anteriores à 2.1.9 Versões 2.2.x do Spring Cloud Config anteriores à 2.2.3 Versões antigas e sem suporte do Spring Cloud Config Descrição: A vulnerabilidade permite que aplicativos sirvam arquivos de configuração arbitrários por meio do módulo spring-cloud-config-server. Um usuário mal-intencionado pode enviar uma solicitação usando uma URL especialmente criada, o que pode levar a um ataque de traversal de diretório. Isso pode permitir que um invasor remoto acesse informações protegidas usando uma solicitação HTTP especialmente formulada. Recomendações: Para as versões 2.1.x do Spring Cloud Config anteriores à 2.1.9, atualize para a versão 2.1.9 ou posterior. Para versões 2.2.x do Spring Cloud Config anteriores à 2.2.3, atualize para a versão 2.2.3 ou posterior. Para versões mais antigas e sem suporte do Spring Cloud Config, considere atualizar para uma versão com suporte para mitigar o risco de exploração. Como solução alternativa temporária, considere restringir o acesso ao módulo spring-cloud-config-server até que um patch esteja disponível.