【漏洞通告】Spring Framework路径遍历漏洞（CVE-2024-38819）

文章预览

一、漏洞 概述 漏洞名称 Spring Framework路径遍历漏洞 CVE   ID CVE-2024-38819 漏洞类型 路径遍历 发现时间 2024-10-18 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Spring Framework 是一个功能强大的 Java 应用程序框架，旨在提供高效且可扩展的开发环境。 2024年10月18日，启明星辰集团VSRC监测到Spring Framework中修复了一个路径遍历漏洞（CVE-2024-38819），该漏洞的CVSS评分为7.5。 Spring Framework受影响版本中，使用WebMvc.fn 或 WebFlux.fn提供静态资源的应用程序容易受到路径遍历攻击，攻击者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件，从而导致数据泄露。 二、影响范围 Spring Framework 5.3.0 - 5.3.40 Spring Framework 6.0.0 - 6.0.24 Spring Framework 6.1.0 - 6.1.13 以及不受支持的旧版本。 三、 ………………………………