Spring 框架漏洞 CVE-2024-38819：Web 应用程序中的路径遍历风险

最近，广泛使用的 Spring Framework 中发现了一个新披露的路径遍历漏洞，编号为 CVE-2024-38819。该漏洞的 CVSS 评分为 7.5，对通过 WebMvc.fn 或 WebFlux.fn 功能性 Web 框架提供静态资源的应用程序构成了重大安全风险。

当静态资源通过 Spring、WebMvc.fn 和 WebFlux.fn 等功能性 Web 框架提供时，就会出现路径遍历漏洞。通过制作恶意 HTTP 请求，攻击者可以利用此漏洞访问运行 Spring 应用程序的同一进程可读取的文件。此攻击的潜在范围可能很广，因为攻击者可能会检索包含敏感信息（例如配置文件、日志甚至凭据）的文件。

Spring Framework 的项目团队在其公告中解释道，“攻击者可以制作恶意 HTTP 请求并获取文件系统上任何可供 Spring 应用程序正在运行的进程访问的文件。 ” 此漏洞让人想起类似的漏洞 CVE-2024-38816，但涉及不同的输入机制。

CVE-2024-38819 由 Aeye Security Lab, Inc 的 Masato Anzai 与第二位匿名研究员负责任地披露。

该公告列出了受影响的 Spring Framework 的多个版本，包括：

• 5.3.0 至 5.3.40

• 6.0.0 至 6.0.24

• 6.1.0 至 6.1.13

• 较旧的、不受支持的 Spring 版本也容易受到攻击。

针对该问题，Spring Framework 团队已发布补丁，强烈建议受影响版本的用户立即升级至以下修复版本：

• 5.3.x用户应升级到5.3.41

• 6.0.x用户应升级到6.0.25

• 6.1.x用户应升级到6.1.14

https://spring.io/security/cve-2024-38819

原文始发于微信公众号（独眼情报）：Spring 框架漏洞 CVE-2024-38819：Web 应用程序中的路径遍历风险