基本信息
漏洞编号: CVE-2024-38819
危险等级: 高危
影响版本: Spring Framework 5.3.0 至 5.3.40、6.0.0 至 6.0.24、6.1.0 至 6.1.13
受影响组件: WebMvc.fn 或 WebFlux.fn
验证状态: 未验证
修复状态: 官方已发布修复版本
漏洞详情
Spring Framework 的受影响版本中存在路径遍历漏洞。当Spring通过WebMvc.fn或者WebFlux.fn对外提供静态文件时,攻击者可以构造恶意的 HTTP 请求,通过路径遍历获取目标系统上的任意文件。
影响范围
影响版本
Spring Framework 5.3.0 - 5.3.40
Spring Framework 6.0.0 - 6.0.24
Spring Framework 6.1.0 - 6.1.13
受影响的产品
- Spring Framework
验证方法
- 检查项目中使用的 Spring Framework 版本是否在受影响范围内。
- 通过依赖管理工具(如 Maven 或 Gradle)查看具体的版本号。
修复方案
方案一:版本升级 (推荐)
请升级至以下修复版本:
- Spring Framework 5.3.x 升级至 5.3.41
- Spring Framework 6.0.x 升级至 6.0.25
- Spring Framework 6.1.x 升级至 6.1.14
下载地址: Spring Framework 官方支持页面
方案二:临时修复
如果暂时无法升级版本,请使用以下缓解措施:
- 限制 WebMvc.fn 或 WebFlux.fn 的资源访问范围,仅允许访问明确配置的安全目录。
- 在应用程序中添加额外的请求路径验证逻辑,防止路径遍历。