当前位置: 首页 > article >正文

【CVE-2024-38819】:功能性 Web 框架中的路径遍历漏洞(内含复现)

【CVE-2024-38819】:功能性 Web 框架中的路径遍历漏洞(第二份报告)

高| 2024 年 10 月 17 日| CVE-2024-38819

描述

通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以编写恶意 HTTP 请求并获取文件系统上任何可由 Spring 应用程序正在运行的进程访问的文件。

这与 CVE-2024-38816 类似,但输入不同。

受影响的 Spring 产品和版本

Spring 框架:

  • 5.3.0 - 5.3.40
  • 6.0.0 - 6.0.24
  • 6.1.0 - 6.1.13
  • 较旧的、不受支持的版本也受到影响

减轻

受影响版本的用户应升级到相应的修复版本。

受影响的版本 修复版本 可用性
5.3.x 5.3.41 商业的
6.0.x 6.0.25 商业的
6.1.x

http://www.kler.cn/a/447947.html

相关文章:

  • 【读书笔记】《论语别裁》寂寞的享受
  • el-form组件中的常用属性
  • 信创技术栈发展现状与展望:机遇与挑战并存
  • R 常用的内置软件包及功能介绍
  • 【线性代数】理解矩阵乘法的意义(点乘)
  • 通过阿里云 Milvus 与 PAI 搭建高效的检索增强对话系统
  • Docker的容器编排
  • draw.io 导出svg图片插入word后模糊(不清晰 )的解决办法
  • datasets笔记:两种数据集对象
  • 【前端爬虫】关于如何获取自己的请求头信息(user-agent和cookie)
  • 单片机:实现PWM LED灯亮度调节及Proteus仿真(附带源码)
  • 【编辑器扩展】打开持久化路径/缓存路径/DataPath/StreamingAssetsPath文件夹
  • Restaurants WebAPI(三)——Serilog/FluenValidation
  • SSH特性|组成|SSH是什么?
  • Netty解决粘包半包问题
  • Spring常见问题
  • OpenHarmony-6.IPC/RPC组件
  • 无人机飞防高效率喷洒技术详解
  • 用音乐与自我对话 ——澄迈漓岛音乐节x草台回声
  • Deepin和Windows传文件(Xftp,WinSCP)
  • AI的进阶之路:从机器学习到深度学习的演变(四)
  • 【Android】unzip aar删除冲突classes再zip
  • <QNAP 453D QTS-5.x> 日志记录:Docker 运行的 Flask 应用 SSL 证书 过期, 更新证书
  • 数据结构 C/C++(实验五:图)
  • 【SH】在Ubuntu Server 24中基于Python Web应用的Flask Web开发(实现POST请求)学习笔记
  • 基于Spring Boot的动漫交流与推荐平台