CVE-2024-38819：Spring Framework 路径遍历漏洞 PoC 发布

独眼情报 2024-12-16 04:34

Spring Framework 中一个严重漏洞（编号为 CVE-2024-38819，CVSS 评分为 7.5）已被公开披露，同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击，从而可能授予他们访问受影响 Spring 应用程序所在服务器上敏感文件的权限。

该漏洞会影响使用功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序。该漏洞由 Aeye 安全实验室的 Masato Anzai 发现并报告，攻击者可以利用该漏洞制作恶意 HTTP 请求来访问底层文件系统上的敏感文件。这些文件必须可供存在漏洞的 Spring 应用程序运行的进程访问。

Anzai 还在GitHub 上
发布了
一个概念验证 (PoC) 漏洞，展示了 CVE-2024-38819 是多么容易被利用。此漏洞对缺乏足够安全措施的静态资源服务应用程序构成了严重威胁。

该漏洞影响 Spring Framework 的以下版本：
– 5.3.0 至 5.3.40

• 6.0.0 至 6.0.24

• 6.1.0 至 6.1.13

• 该框架的较旧版本和不受支持的版本
  同样容易受到攻击。

Spring Framework团队已发布补丁修复该漏洞，强烈建议用户立即升级至以下修复版本：
– 5.3.x
 → 升级到
5.3.41

• 6.0.x
   → 升级到
  6.0.25

• 6.1.x
   → 升级至
  6.1.14

https://github.com/masa42/CVE-2024-38819-POC