漏洞

CVE-2024-38816：Spring框架路径遍历漏洞威胁数百万用户

在流行的Spring框架中发现了一个严重的安全漏洞，编号为CVE-2024-38816（CVSS 7.5），可能影响全球数百万Java应用程序。这种路径遍历漏洞允许攻击者获得对服务器上敏感文件的未授权访问，存在数据泄露和系统被入侵的重大风险。

漏洞存在于Spring框架处理通过功能Web框架WebMvc.fn或WebFlux.fn提供的静态资源的方式。通过精心构造恶意HTTP请求，攻击者可以绕过安全措施并从服务器的文件系统中检索任意文件，包括配置文件、源代码和用户数据。

具体来说，当以下两种情况同时成立时，应用程序是易受攻击的：

• Web应用程序使用RouterFunctions来提供静态资源
• 资源处理明确配置为FileSystemResource位置

然而，当以下任何一种情况成立时，恶意请求会被阻止和拒绝：

• 使用Spring Security HTTP防火墙
• 应用程序在Tomcat或Jetty上运行

CVE-2024-38816漏洞的影响范围很广，因为Spring框架在各个行业和应用程序中被广泛采用。任何使用受影响版本的Spring框架（5.3.0至5.3.39，6.0.0至6.0.23，以及6.1.0至6.1.12）并通过易受攻击的组件提供静态资源的应用程序都处于风险之中。

Spring团队已经发布了修补版本来解决这个漏洞。https://github.com/spring-projects/spring-framework/releases对于组织来说，立即升级他们的Spring框架安装到最新版本至关重要。

升级到最新版本：最有效的缓解措施是升级到修复后的版本：根据您当前的版本，可以升级到5.3.40、6.0.24或6.1.13。

启用Spring Security的HTTP防火墙：对于较旧、不支持的版本，启用Spring Security HTTP防火墙可以提供额外的保护层。

切换到Tomcat或Jetty：如果可行，考虑将您的Web服务器切换到Tomcat或Jetty，因为它们天生就拒绝利用此漏洞的恶意请求。