CVE-2020-5410

**Nome do software vulnerável e versões afetadas:

Versões 2.1.x do Spring Cloud Config anteriores à 2.1.9

Versões 2.2.x do Spring Cloud Config anteriores à 2.2.3

Versões antigas e sem suporte do Spring Cloud Config

Descrição:

A vulnerabilidade permite que aplicativos sirvam arquivos de configuração arbitrários por meio do módulo spring-cloud-config-server. Um usuário mal-intencionado pode enviar uma solicitação usando uma URL especialmente criada, o que pode levar a um ataque de traversal de diretório. Isso pode permitir que um invasor remoto acesse informações protegidas usando uma solicitação HTTP especialmente formulada.

Recomendações:

Para as versões 2.1.x do Spring Cloud Config anteriores à 2.1.9, atualize para a versão 2.1.9 ou posterior.

Para versões 2.2.x do Spring Cloud Config anteriores à 2.2.3, atualize para a versão 2.2.3 ou posterior.

Para versões mais antigas e sem suporte do Spring Cloud Config, considere atualizar para uma versão com suporte para mitigar o risco de exploração.

Como solução alternativa temporária, considere restringir o acesso ao módulo spring-cloud-config-server até que um patch esteja disponível.