大工网安告[2024]032

一、 情况分析

Spring Framework是一个功能强大的Java应用程序框架，旨在提供高效且可扩展的开发环境。

近日，官方修复Spring Framework路径遍历漏洞(CVE-2024-38819)，在Spring Framework受影响版本中，当应用程序使用WebMvc.fn或 WebFlux.fn提供静态资源时容易受到路径遍历攻击。攻击者可以编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件，从而导致信息泄露。鉴于此漏洞影响范围较大，建议用户尽快做好自查及防护。

威胁类型：信息泄露。

技术类型：路径名的限制不恰当。

利用条件：无。

危害描述：攻击者可以编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件，从而导致信息泄露。

二、 影响版本

5.3.0 <=Spring Framework<= 5.3.40

6.0.0 <=Spring Framework<= 6.0.24

6.1.0 <=Spring Framework<= 6.1.13

以及不受支持的旧版本。

三、 处置建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Spring Framework >= 5.3.41

Spring Framework >= 6.0.25

Spring Framework >= 6.1.14

下载链接：

https://github.com/spring-projects/spring-framework/tags