Spring Framework路径遍历漏洞 (CVE-2024-38816)

admin 2024年9月17日16:12:29评论182 views字数 758阅读2分31秒阅读模式

Spring Framework路径遍历漏洞 (CVE-2024-38816)

Spring Framework 是 Java 平台上的开源应用程序框架,广泛用于构建复杂的企业级应用。它提供了灵活的依赖注入、面向方面编程和多种 Web 框架(如 WebMvc 和 WebFlux)来帮助开发者简化 Web 应用程序的开发。

01 漏洞描述

漏洞类型:Spring Framework路径遍历漏洞

简述:CVE-2024-38816 是一个路径遍历漏洞,影响到 Spring Framework 中的 WebMvc.fn 和 WebFlux.fn 功能性 Web 框架。在特定情况下,攻击者可以构造恶意的 HTTP 请求,绕过文件路径的限制,从而访问应用程序文件系统中的任意文件。该漏洞仅在以下条件下会被利用:
  • 应用程序使用 RouterFunctions 来处理静态资源
  • 静态资源的处理通过 FileSystemResource 位置配置
攻击者通过精心设计的请求可以访问文件系统中的任意文件,只要该文件对运行 Spring 应用的进程可访问。

Spring Framework路径遍历漏洞 (CVE-2024-38816)

02 漏洞影响版本

受影响的 Spring Framework 版本如下:

    • 5.3.0 - 5.3.39

    • 6.0.0 - 6.0.23

    • 6.1.0 - 6.1.12

    同时,旧版本的 Spring Framework 也可能受到影响,但由于这些版本已不再维护,因此建议立即升级或采取其他防御措施。

03 漏洞修复方案

该漏洞的修复版本和可用性如下:

受影响版本 修复版本 可用性
5.3.x 5.3.40 仅限企业支持 (Enterprise Support)
6.0.x 6.0.24 仅限企业支持 (Enterprise Support)
6.1.x 6.1.13 开源支持 (OSS)

04 参考链接

https://spring.io/security/cve-2024-38816

END

Spring Framework路径遍历漏洞 (CVE-2024-38816)

原文始发于微信公众号(锋刃科技):Spring Framework路径遍历漏洞 (CVE-2024-38816)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月17日16:12:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring Framework路径遍历漏洞 (CVE-2024-38816)https://cn-sec.com/archives/3175215.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息