Spring Framework路径遍历漏洞CVE-2024-38819

Spring Framework是一个Java开源框架，旨在提供高效且可扩展开发环境，是Spring 全家桶中最基础的项目，是其他项目的根基。

一、基本情况

Spring Framework 为基于 Java 的现代企业应用程序提供了一个全面的编程和配置模型，它集成了IOC、DI与AOP容器技术的框架。

Spring模块构建在核心容器（Beans，Context和Core）之上，核心容器定义创建、配置和管理Bean方式，设计理念面向Bean编程。

Spring框架所有的容器组件都是为Bean对象的管理而服务的，Bean是一个被实例化、组装，并通过 Spring IOC 容器来管理的对象。

因此而言，Bean 在Spring 中才是真正的主角，Spring 则是应用程序级别的基础支持，开发团队无需关注与特定部署环境间的联系。

2024年10月17日，栋科技漏洞库注意到Spring Framework修复一个路径遍历漏洞，该漏洞影响6.1.13、6.0.24、5.3.40及以下版本。

二、漏洞分析

2024年10月17日，Spring 开发团队发布资安公告，指出Spring Framework存在一个路径遍历漏洞，漏洞追踪为CVE-2024-38819。

CVE-2024-38819漏洞存在于6.1.13、6.0.24、5.3.40及以下版本，漏洞CVSS评分7.5，官方已推出6.1.14、6.0 .25、5.3.41版修复。

攻击者利用该漏洞通过编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问文件，从而导致信息泄露。

Spring Framework受影响版本中，应用程式藉由网页框架WebMvc.fn或WebFlux.fn提供静态资源的过程中容易受到路径遍历攻击。

攻击者可以构造一个恶意HTTP请求，就有机会访问目标文件系统上Spring 应用程序进程有权访问的任意文件，从而导致数据泄露。

官方声明中补充表示，该漏洞与一月前修复的CVE-2024-38816（CVSS风险为7.5分）形似，但漏洞利用或触发方式可能有所不同。

三、影响范围

5.3.0 <=Spring Framework<= 5.3.40

6.0.0 <=Spring Framework<= 6.0.24

6.1.0 <=Spring Framework<= 6.1.13

以及不受支持的旧版本。

四、修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Spring Framework >= 5.3.41

Spring Framework >= 6.0.25

Spring Framework >= 6.1.14