一、漏洞概要
漏洞名称 |
Spring Framework路径遍历漏洞(CVE-2024-38819) |
发布时间 |
2024年10月21日 |
组件名称 |
威睿-SpringFramework |
影响范围 |
5.3.0≤Spring Framework≤5.3.40 6.0.0≤Spring Framework≤6.0.24 6.1.0≤Spring Framework≤6.1.13 |
漏洞类型 |
目录遍历 |
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 |
<综合评定利用难度>:容易,能造成信息泄露。 <综合评定威胁等级>:高危,能造成信息泄露 |
官方解决方案 |
已发布 |
二、漏洞分析
2.1组件介绍
Spring框架为现代基于Java的企业应用程序提供了一个全面的编程和配置模型——在任何类型的部署平台上。
2.2漏洞描述
历史版本的Spring Framework在使用WebMvc.fn或WebFlux.fn时存在路径遍历漏洞,攻击者可以构造恶意HTTP请求在文件系统上获取文件导致信息泄露。
三、影响范围
目前受影响的威睿-Spring Framework版本:
5.3.0≤Spring Framework≤5.3.40
6.0.0≤Spring Framework≤6.0.24
6.1.0≤Spring Framework≤6.1.13
四、解决方案
4.1修复建议
1.官方修复建议
安全版本:
Spring Framework5.3.41
Spring Framework6.0.25
Spring Framework6.1.14
修复建议:
官方已发布最新版本修复该漏洞,请将Spring Framework服务器更新到5.3.41,6.0.25,6.1.14及以上版本,下载链接:https://github.com/spring-projects/spring-framework/tags
五、参考链接
https://spring.io/security/cve-2024-38819
