領先一步
VMware 提供培訓和認證,以加速您的進度。
瞭解更多Spring Security 安全公告
CVE-2024-38819:函數式 Web 框架中的路徑遍歷漏洞(第二份報告)
描述
透過函數式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供靜態資源的應用程式容易受到路徑遍歷攻擊。 攻擊者可以製作惡意的 HTTP 請求,並取得檔案系統上 Spring 應用程式執行程序可存取的任何檔案。
這與 CVE-2024-38816 類似,但輸入不同。
受影響的 Spring 產品和版本
Spring Framework
- 5.3.0 - 5.3.40
- 6.0.0 - 6.0.24
- 6.1.0 - 6.1.13
- 舊版本,不受支援的版本也會受到影響
緩解措施
受影響版本的使用者應升級到對應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.41 | 商業版 |
| 6.0.x | 6.0.25 | 商業版 |
| 6.1.x | 6.1.14 | OSS |
沒有其他必要的緩解步驟。
致謝
此問題由 Aeye Security Lab, Inc 的 Masato Anzai 以及第二位匿名報告者負責報告。
參考資料
報告漏洞
要報告 Spring 系列產品中的專案的安全漏洞,請參閱安全策略