Spring Framework 是 Java 平台上的开源应用程序框架,广泛用于构建复杂的企业级应用。它提供了灵活的依赖注入、面向方面编程和多种 Web 框架(如 WebMvc 和 WebFlux)来帮助开发者简化 Web 应用程序的开发。
01 漏洞描述
漏洞类型:Spring Framework路径遍历漏洞
-
应用程序使用 RouterFunctions 来处理静态资源 -
静态资源的处理通过 FileSystemResource 位置配置
02 漏洞影响版本
受影响的 Spring Framework 版本如下:
-
5.3.0 - 5.3.39
-
6.0.0 - 6.0.23
-
6.1.0 - 6.1.12
同时,旧版本的 Spring Framework 也可能受到影响,但由于这些版本已不再维护,因此建议立即升级或采取其他防御措施。
03 漏洞修复方案
该漏洞的修复版本和可用性如下:
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.40 | 仅限企业支持 (Enterprise Support) |
| 6.0.x | 6.0.24 | 仅限企业支持 (Enterprise Support) |
| 6.1.x | 6.1.13 | 开源支持 (OSS) |
04 参考链接
https://spring.io/security/cve-2024-38816
END
原文始发于微信公众号(锋刃科技):Spring Framework路径遍历漏洞 (CVE-2024-38816)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论