【CVE-2024-38819】:功能性 Web 框架中的路径遍历漏洞(内含复现)
【CVE-2024-38819】:功能性 Web 框架中的路径遍历漏洞(第二份报告)
高| 2024 年 10 月 17 日| CVE-2024-38819
描述
通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以编写恶意 HTTP 请求并获取文件系统上任何可由 Spring 应用程序正在运行的进程访问的文件。
这与 CVE-2024-38816 类似,但输入不同。
受影响的 Spring 产品和版本
Spring 框架:
- 5.3.0 - 5.3.40
- 6.0.0 - 6.0.24
- 6.1.0 - 6.1.13
- 较旧的、不受支持的版本也受到影响
减轻
受影响版本的用户应升级到相应的修复版本。
受影响的版本 | 修复版本 | 可用性 |
---|---|---|
5.3.x | 5.3.41 | 商业的 |
6.0.x | 6.0.25 | 商业的 |
6.1.x |