【漏洞通告】Spring Framework路径遍历漏洞（CVE-2024-38816）

文章预览

一、漏洞 概述 漏洞名称 Spring Framework路径遍历漏洞 CVE   ID CVE-2024-38816 漏洞类型 路径遍历 发现时间 2024-09-13 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Spring Framework 是一个功能强大的 Java 应用程序框架，旨在提供高效且可扩展的开发环境。 2024年9月13日，启明星辰集团VSRC监测到Spring Framework中修复了一个路径遍历漏洞（CVE-2024-38816），该漏洞的CVSS评分为7.5。 Spring Framework受影响版本中，使用WebMvc.fn 或 WebFlux.fn（在Spring Web MVC或Spring WebFlux框架中）提供静态资源的应用程序容易受到路径遍历攻击，当Web应用程序使用RouterFunctions提供静态资源并且应用程序使用FileSystemResource或类似的配置来从文件系统提供静态文件时，威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权 ………………………………