在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中，可能会绕过CVE-2015-5211对RFD攻击的保护，具体取决于通过使用jsessionid路径参数使用的浏览器。

详情

在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中，可能会绕过CVE-2015-5211对RFD攻击的保护，具体取决于通过使用jsessionid路径参数使用的浏览器。

修复建议

升级至最新版本，下载地址：https://repo.spring.io/release/org/springframework/spring/

注意：
spring漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的spring组件，无法精准确认漏洞有效攻击面，实际是否真实受漏洞影响还需用户根据自身业务判断。

受影响资产