文章预览
一、漏洞 概述 漏洞名称 Spring Framework路径遍历漏洞 CVE ID CVE-2024-38816 漏洞类型 路径遍历 发现时间 2024-09-13 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。 2024年9月13日,启明星辰集团VSRC监测到Spring Framework中修复了一个路径遍历漏洞(CVE-2024-38816),该漏洞的CVSS评分为7.5。 Spring Framework受影响版本中,使用WebMvc.fn 或 WebFlux.fn(在Spring Web MVC或Spring WebFlux框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web应用程序使用RouterFunctions提供静态资源并且应用程序使用FileSystemResource或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权
………………………………
