springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38819)

已于 2024-10-30 12:03:50 修改
阅读量3k 收藏 6
点赞数 6
分类专栏: 漏洞修复 springboot3.x spring boot 文章标签: spring spring boot 后端
于 2024-10-30 11:25:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LDY1016/article/details/143360142
版权

刚解决Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)没几天,又来一个新的,真是哭笑不得啊。

springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)icon-default.png?t=O83Ahttps://blog.youkuaiyun.com/LDY1016/article/details/142908982

不过没关系,springboot官方又发布了新的版本3.3.5,将项目升级到该版本即可

从springboot2.x升级到3.x请查看

springboot2.x升级到3.x实战经验总结icon-default.png?t=O83Ahttps://blog.youkuaiyun.com/LDY1016/article/details/136499836

漏洞描述

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年10月,Spring官方发布公告披露 CVE-2024-38819 Spring Framework 特定条件下目录遍历漏洞。该漏洞类似CVE-2024-38816,当Spring通过WebMvc.fn或者WebFlux.fn对外提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。

影响范围

Spring Framework 5.3.0 - 5.3.40

Spring Framework 6.0.0 - 6.0.24

Spring Framework 6.1.0 - 6.1.13

其他更老或者官方已不支持的版本

安全版本

Spring Framework 5.3.41

Spring Framework 6.0.25

Spring Framework 6.1.14

解决建议

1、建议更新至最新版本。
2、排查代码中是否有类似使用,结合实际情况可确认是否实际受影响。

参考链接
 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI...
 CVE-2024-38819: Path traversal vulnerability in functional web frameworks (2nd report)
Spring Framework 路径遍历漏洞复现(CVE-2024-38819
iSee857的博客
12-16 2038
Spring Framework 存在路径遍历漏洞,当应用程序使用WebMvc.fn 或 WebFlux.fn 提供静态资源时,恶意攻击者通过编写特殊HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件,从而导致信息泄露。
aiohttp static存在目录遍历漏洞(CVE-2024-23334)
缘梦未来的博客
12-16 218
aiohttp是一个Python的HTTP客户端/服务器框架,它基于asyncio库实现异步编程模型,可以支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。
关于Spring Framework路径遍历漏洞CVE-2024-38816)的预警提示和修复方案
洛阳泰山的博客
10-15 6639
是一个Java应用程序框架,旨在提供高效且可扩展的开发环境。近日,监测到中修复了一个路径遍历漏洞(受影响版本中,使用WebMvc.fn或WebFlux.fn(在或框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web 应用程序使用提供静态资源并且应用程序使用或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件,从而导致数据泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
CVE-2024-38819Spring 框架路径遍历 PoC 漏洞复现
qq_73861475的博客
12-16 2916
注意在创建的时候有些镜像无法拉取到,可以在Dockerfile文件中修改配置使用其他的镜像。: 通过创建符号链接,攻击者可以尝试构造一个路径遍历的恶意 URL。该漏洞利用了路径遍历问题,使攻击者能够访问系统中本不应暴露的文件(如。攻击者能够进一步利用该信息来获取其他敏感数据或执行任意代码。这段代码创建了一个静态文件资源的路由。目录“跳出”并访问系统的其他目录(如。来尝试获取指向其他系统路径的文件。拿到环境的源码使用docker搭建。文件的内容,证明存在该漏洞。),从而获取系统敏感信息。
springboot 修复 Spring Framework 特定条件目录遍历漏洞CVE-2024-38816)
记录点滴
10-14 7865
springboot2.x升级到3.x实战经验总结安全版本6.0.24 和 6.1.13 是springboot3.x使用的版本,springboot3.x的用户只需要将springboot升级到最新版本即可,官方已发布最新版本,如下图所示,springboot3.2以下版本已不再提供更新维护。祝大家升级顺利!
Spring Framework存在目录遍历漏洞(CVE-2024-38819)
ZeroDay001的博客
12-17 678
Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。它结合了轻量级的容器和依赖注入功能,提供了一种使用 POJO 进行容器配置和面向切面的编程的简单方法,以及一组用于AOP的模块。及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效率,进而规避供需风险,强化供应链整合能力,构建企业利益共同体。
spring Framework 特定条件目录遍历漏洞CVE-2024-38816)修复
hvang1988的专栏
11-06 1661
spring Framework 特定条件目录遍历漏洞CVE-2024-38816)修复
CVE-2024-38819】:功能性 Web 框架中的路径遍历漏洞(内含复现)
weixin_47075747的博客
12-22 1645
通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以编写恶意 HTTP 请求并获取文件系统上任何可由 Spring 应用程序正在运行的进程访问的文件。在实际系统中使用此 PoC 之前,请确保漏洞修复并且您已获得适当的授权。该问题由 Aeye Security Lab, Inc 的 Masato Anzai 和第二位匿名报告者负责任地报告。创建一个利用百分比编码通过符号链接遍历目录的有效负载。受影响版本的用户应升级到相应的修复版本。
Spring Cloud Config目录遍历漏洞(CVE-2019-3799)
Li-D的博客
09-16 2818
漏洞描述 Spring Cloud Config目录遍历漏洞的本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件。攻击者可以构建恶意URL以利用目录遍历漏洞漏洞危害 由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个…%252f进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 漏洞影响版本 Spring Cloud Config 2.1.0 to 2.1.1 Spring Cloud Conf
漏洞分析 | Spring Framework路径遍历漏洞CVE-2024-38816)
WangsuSecurity的博客
11-07 5192
当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework
BearFinn的博客
04-24 3406
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework 官方给出的描述是Spring框架中报告了一个与静态资源处理相关的目录遍历漏洞。某些URL在使用前未正确加密,使得攻击者能够获取文件系统上的任何文件,这些文件也可用于运行SpringWeb应用程序的进程。 受影响的版本: Spring Framework 3.0.4 to 3.2.11...
CVE-2024-38819
最新发布
01-07
### CVE-2024-38819 漏洞详情 CVE-2024-38819Spring Framework 中存在的目录遍历漏洞。攻击者可以通过精心构造的请求路径读取服务器上的任意文件,从而获取敏感信息或执行进一步的攻击。 ### 影响范围 此漏洞影响多个版本的 Spring Framework,具体如下: - Spring Framework 6.1.0 至 6.1.11 版本 - Spring Framework 6.0.0 至 6.0.22 版本 - Spring Framework 5.3.0 至 5.3.38 版本 - 更早的老版本也受到影响[^3] ### 解决方案 为了防止利用该漏洞进行攻击,建议采取以下措施之一来解决问题: #### 升级框架版本 立即升级到最新版的 Spring Framework,官方已经发布了修复漏洞的新版本。确保使用的版本不低于推荐的安全更新版本。 #### 应用补丁程序 如果无法立刻进行全面升级,则应安装由供应商发布的针对当前使用版本的安全补丁。 #### 配置防护策略 加强应用层面对输入参数的有效性和合法性验证,阻止恶意构造的数据进入系统内部逻辑处理流程;同时配置 Web 容器或防火墙规则以拦截可疑 URL 请求模式。 ```java // 示例:增强URL路径校验 if (!path.startsWith("/") || path.contains("..")) { throw new IllegalArgumentException("Invalid path"); } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值