springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)

最新推荐文章于 2025-04-25 22:51:40 发布
最新推荐文章于 2025-04-25 22:51:40 发布
阅读量1.1k 收藏 11
点赞数 23
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74824802/article/details/146166607
版权
一定要看到最后!

一定要看到最后!

一定要看到最后!

一、漏洞描述

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年9月,Spring官方发布公告披露 CVE-2024-38816 Spring Framework 特定条件下目录遍历漏洞。当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件 时,攻击者可构造恶意请求遍历读取系统上的文件。

影响范围

Spring Framework 5.3.0 - 5.3.39

Spring Framework 6.0.0 - 6.0.23

Spring Framework 6.1.0 - 6.1.12

其他更老或者官方已不支持的版本

安全版本

Spring Framework 5.3.40

Spring Framework 6.0.24

Spring Framework 6.1.13

二、解决建议

1、建议更新至最新版本。
2、排查代码中是否有类似使用,结合实际情况可确认是否实际受影响。

springboot2.x的用户请注意:

安全版本Spring Framework 5.3.40为企业版,未免费开放使用!

安全版本Spring Framework 5.3.40为企业版,未免费开放使用!

安全版本Spring Framewo

最低0.47元/天 解锁文章
Spring Framework 路径遍历漏洞复现(CVE-2024-38819)
iSee857的博客
12-16 2406
Spring Framework 存在路径遍历漏洞,当应用程序使用WebMvc.fn 或 WebFlux.fn 提供静态资源时,恶意攻击者通过编写特殊HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件,从而导致信息泄露。
SpringBoot开发——SpringBoot项目中存在的15 个常见的安全漏洞及解决方案
bjzhang75的博客
04-21 315
SpringBoot开发——SpringBoot项目中存在的15 个常见的安全漏洞及解决方案
spring Framework 特定条件目录遍历漏洞CVE-2024-38816修复
hvang1988的专栏
11-06 1831
spring Framework 特定条件目录遍历漏洞CVE-2024-38816修复
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
漏洞详情: spring-messaging模块远程代码执行(CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台Spring MVC框架目录遍历CVE-2018-1271) Spring MVC框架支持配置静态资源文件(例如CSS、JS、图片等)访问,当静态文件存储在Windows平台的文件系统时,攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。 Spring框架Multipart内容污染(CVE-2018-1272) 当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求,并用它来向另一个服务端发送multipart请求时,攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制,要求攻击者能够猜到multipart字段的boundary值,因此影响较低。
漏洞分析 | Spring Framework路径遍历漏洞CVE-2024-38816
WangsuSecurity的博客
11-07 5644
当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件
springboot2.6.15升级至3.3.4,Spring Framework升级至6.1.14
doublelucklysnow的专栏
10-23 3944
由于CVE-2024-38816漏洞,紧急升级spring boot版本至3.3.4目前该漏洞已经修复,受影响用户可升级到以下版本:Spring Framework 5.3.x:升级到5.3.41(仅限企业支持)Spring Framework 6.0.x:升级到6.0.25(仅限企业支持)Spring Framework 6.1.x:升级到6.1.14或更高版本安全版本Spring Framework 5.3.41为企业版,未免费开放使用!
CVE-2024-38816
GalaxySpaceX的博客
10-18 3541
CVE-2024-38816
漏洞分析 Spring Framework路径遍历漏洞CVE-2024-38816
brrdg_sefg的博客
02-23 2303
VMware Spring Framework是美国威睿(VMware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
关于Spring Framework路径遍历漏洞CVE-2024-38816)的预警提示和修复方案
洛阳泰山的博客
10-15 7558
是一个Java应用程序框架,旨在提供高效且可扩展的开发环境。近日,监测到中修复了一个路径遍历漏洞(受影响版本中,使用WebMvc.fn或WebFlux.fn(在或框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web 应用程序使用提供静态资源并且应用程序使用或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件,从而导致数据泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
springboot 修复 Spring Framework 特定条件目录遍历漏洞CVE-2024-38819)
记录点滴
10-30 3639
刚解决Spring Framework 特定条件目录遍历漏洞CVE-2024-38816)没几天,又来一个新的,真是哭笑不得啊。不过没关系,springboot官方又发布了新的版本3.3.5,将项目升级到该版本即可从springboot2.x升级到3.x请查看springboot2.x升级到3.x实战经验总结。
springboot2.x升级到3.x 惨痛经验总结
最新发布
lmmusus的博客
04-25 928
一、前言(废话)升级的缘由 都是因为:Spring 目录遍历漏洞CVE-2024-38816)然后就趁着工作之余,升级不可怕,可怕的是一系列的版本兼容问题本来,如果spring framework 5.3.40 免费可以提供,我们大概率也不怎么需要升级了。但是没办法,人家不对我们小小的凡(qiong)人开放。二、正经事儿(以下都是我遇到的问题)1.1 这次主要是升级了以下几个模块的版本 java,springspringbootspring-security,jwt等;
目录遍历漏洞
qq_68163788的博客
05-22 4013
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤和验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
Spring 框架相关漏洞详解合集_spring漏洞
2401_87167740的博客
09-18 2697
dump-显示线程转储(包括堆栈跟踪)/trace-显示最后几条HTTP消息(其中可能包含会话标识符)/logfile-输出日志文件的内容/shutdown-关闭应用程序/mappings-显示所有MVC控制器映射/env-提供对配置环境的访问/restart-重新启动应用程序。/test.htm?name=kxlzx&kxlzxcmd=calc //包含input的页面。inputkxlzx //什么名字都行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值