Spring Framework 路径遍历漏洞 （CVE-2024-38819）

漏洞描述

    近日，晟晖实验室团队监测到Spring Framework 中一个严重漏洞已被公开披露，此漏洞允许攻击者进行路径遍历攻击，从而可能授予他们访问受影响 Spring 应用程序所在服务器上敏感文件的权限。

    该漏洞会影响使用功能性 Web 框架WebMvc.fn 或WebFlux.fn 提供静态资源的应用程序，攻击者可以利用该漏洞制作恶意 HTTP 请求来访问底层文件系统上的敏感文件。此漏洞对缺乏足够安全措施的静态资源服务应用程序构成了严重威胁。

漏洞影响

• 该漏洞影响 Spring Framework 的以下版本：
• 5.3.0 至5.3.40
• 6.0.0 至6.0.24
• 6.1.0 至6.1.13
• 该框架的较旧版本和不受支持的版本同样容易受到攻击。

处置建议

• Spring Framework团队已发布补丁修复该漏洞，强烈建议用户立即升级至以下修复版本：
• 5.3.x → 升级到5.3.41
• 6.0.x → 升级到6.0.25
• 6.1.x → 升级至6.1.14