Spring Framework路径遍历漏洞 (CVE-2024-38819) 安全风险通告

• 漏洞编号：CVE-2024-38819
  
• 漏洞类型：信息泄露 
• 漏洞等级：高危
• 发布时间：2024-10-17

              

漏洞描述：

Spring Framework 是一个功能强大的 Java 应用程序框架，旨在提供高效且可扩展的开发环境。

在Spring Framework受影响版本中，当应用程序使用WebMvc.fn 或 WebFlux.fn 提供静态资源时容易受到路径遍历攻击。攻击者可以编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件，从而导致信息泄露。

 

影响版本：

 

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：

Spring Framework >= 5.3.41

Spring Framework >= 6.0.25

Spring Framework >= 6.1.14

下载链接：

https://github.com/spring-projects/spring-framework/tags

参考链接:
https://spring.io/security/cve-2024-38819