Spring Framework 中的一个关键漏洞(CVE-2024-38819,CVSS 得分 7.5)以及一个概念验证 (PoC) 漏洞已被公开披露。该漏洞允许攻击者进行路径遍历攻击,从而可能允许他们访问托管受影响 Spring 应用程序的服务器上的敏感文件。

该漏洞会影响使用功能 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序。该漏洞由 Aeye 安全实验室的 Masato Anzai 发现并报告,攻击者可利用该漏洞制作恶意 HTTP 请求,访问底层文件系统上的敏感文件。有漏洞的 Spring 应用程序所运行的进程必须能访问这些文件。

Anzai 还在 GitHub 上发布了一个概念验证(PoC)漏洞,展示了如何轻松利用 CVE-2024-38819。该漏洞对没有采取适当安全措施的静态资源服务应用程序构成严重威胁。

该漏洞影响以下版本的 Spring Framework:

5.3.0 至 5.3.40
6.0.0 至 6.0.24
6.1.0 至 6.1.13

较旧的、不受支持的框架版本也存在漏洞。

Spring Framework 团队已发布修补程序来解决此漏洞。强烈建议用户立即升级到以下修复版本:

5.3.x → 升级至 5.3.41

6.0.x → 升级到 6.0.25

6.1.x → 升级到 6.1.14

文章原文链接:https://www.anquanke.com/post/id/302773