Spring安全公告

CVE-2024-38816:函数式Web框架中的路径遍历漏洞

高危 | 2024年9月12日 | CVE-2024-38816

描述

通过函数式Web框架WebMvc.fn或WebFlux.fn提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以伪造恶意的HTTP请求,并获取Spring应用程序运行进程也可以访问的任何文件系统上的文件。

具体来说,当满足以下两个条件时,应用程序存在漏洞:

  • Web应用程序使用RouterFunctions提供静态资源
  • 资源处理使用FileSystemResource位置显式配置

但是,当满足以下任何条件时,恶意请求将被阻止和拒绝:

受影响的Spring产品和版本

Spring Framework

  • 5.3.0 - 5.3.39
  • 6.0.0 - 6.0.23
  • 6.1.0 - 6.1.12
  • 较旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应升级到相应的已修复版本。

受影响的版本 修复版本 可用性
5.3.x 5.3.40 商业版
6.0.x 6.0.24 商业版
6.1.x 6.1.13 开源版

无需其他缓解步骤。

使用较旧、不受支持版本的使用者可以在其应用程序中启用Spring Security的防火墙,或切换到使用Tomcat或Jetty作为Web服务器,因为它们会拒绝此类恶意请求。

致谢

此问题由Gabor Legrady发现并负责报告。

参考资料

领先一步

VMware提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部