springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)

已于 2024-10-30 11:30:02 修改
阅读量7.8k 收藏 19
点赞数 11
分类专栏: 漏洞修复 spring boot 文章标签: spring spring boot 后端
于 2024-10-14 09:23:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LDY1016/article/details/142908982
版权
一定要看到最后!

一定要看到最后!

一定要看到最后!

一、漏洞描述

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年9月,Spring官方发布公告披露 CVE-2024-38816 Spring Framework 特定条件下目录遍历漏洞。当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件 时,攻击者可构造恶意请求遍历读取系统上的文件。

影响范围

Spring Framework 5.3.0 - 5.3.39

Spring Framework 6.0.0 - 6.0.23

Spring Framework 6.1.0 - 6.1.12

其他更老或者官方已不支持的版本

安全版本

Spring Framework 5.3.40

Spring Framework 6.0.24

Spring Framework 6.1.13

二、解决建议

1、建议更新至最新版本。
2、排查代码中是否有类似使用,结合实际情况可确认是否实际受影响。

springboot2.x的用户请注意:

安全版本Spring Framework 5.3.40为企业版,未免费开放使用!

安全版本Spring Framework 5.3.40为企业版,未免费开放使用!

安全版本Spring Framework 5.3.40为企业版,未免费开放使用!

因此,springboot2.x的用户只能升级到springboot3.x最新版本(哭晕在厕所),这是一项大工程,需改修改的东西很多,不过小编已经踩过坑了,需要升级的用户请参考小编的经验总结:

springboot2.x升级到3.x实战经验总结icon-default.png?t=O83Ahttps://blog.csdn.net/LDY1016/article/details/136499836?spm=1001.2014.3001.5501

安全版本6.0.24 和 6.1.13 是springboot3.x使用的版本,springboot3.x的用户只需要将springboot升级到最新版本即可,官方已发布最新版本,如下图所示,springboot3.2以下版本已不再提供更新维护。

那么针对比较老旧的项目,比如SpringMVC+JSP的老项目,升级比较困难,或者自己短时间内抽不出时间来改造的项目,我们应该怎么办,Spring官方解释如下

意思是:当以下任何一项为真时,恶意请求将被阻止和拒绝:

  • 正在使用Spring Security HTTP防火墙
  • 应用程序在Tomcat或Jetty上运行

所以,只要我们的项目使用了Spring Security HTTP防火墙或者在Tomcat或Jetty上运行,就会避免该漏洞导致的影响,Spring官方回复链接:https://spring.io/security/cve-2024-38816。不过,有时间的情况下最好升级到最新版本,老版本已不再维护,谁知道下一次其他漏洞什么时候会到来呢。

2024年10月30日补充:

上面说的问题他真的来了,没过多久,2024年10月,Spring官方发布公告披露 CVE-2024-38819 Spring Framework 特定条件下目录遍历漏洞,所以还是升级到最新版本吧,springboot官方最新版本 3.3.5 修复了该漏洞。

祝大家升级顺利!

Spring Framework 路径遍历漏洞复现(CVE-2024-38819)
iSee857的博客
12-16 2026
Spring Framework 存在路径遍历漏洞,当应用程序使用WebMvc.fn 或 WebFlux.fn 提供静态资源时,恶意攻击者通过编写特殊HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件,从而导致信息泄露。
漏洞分析 | Spring Framework路径遍历漏洞CVE-2024-38816
WangsuSecurity的博客
11-07 5183
当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件
关于Spring Framework路径遍历漏洞CVE-2024-38816)的预警提示和修复方案
洛阳泰山的博客
10-15 6620
是一个Java应用程序框架,旨在提供高效且可扩展的开发环境。近日,监测到中修复了一个路径遍历漏洞(受影响版本中,使用WebMvc.fn或WebFlux.fn(在或框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web 应用程序使用提供静态资源并且应用程序使用或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件,从而导致数据泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
Spring Framework存在目录遍历漏洞(CVE-2024-38819)
ZeroDay001的博客
12-17 674
Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。它结合了轻量级的容器和依赖注入功能,提供了一种使用 POJO 进行容器配置和面向切面的编程的简单方法,以及一组用于AOP的模块。及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效率,进而规避供需风险,强化供应链整合能力,构建企业利益共同体。
漏洞分析 Spring Framework路径遍历漏洞CVE-2024-38816
最新发布
web15185420056的博客
03-02 1044
VMware Spring Framework是美国威睿(VMware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞复现
12-16
复现CVE-2024-38819
spring Framework 特定条件目录遍历漏洞CVE-2024-38816修复
hvang1988的专栏
11-06 1655
spring Framework 特定条件目录遍历漏洞CVE-2024-38816修复
目录遍历漏洞
qq_68163788的博客
05-22 3716
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤和验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
CVE-2024-38816
GalaxySpaceX的博客
10-18 3275
CVE-2024-38816
springboot 修复 Spring Framework 特定条件目录遍历漏洞CVE-2024-38819)
web14786210723的博客
02-15 406
刚解决Spring Framework 特定条件目录遍历漏洞CVE-2024-38816)没几天,又来一个新的,真是哭笑不得啊。不过没关系,springboot官方又发布了新的版本3.3.5,将项目升级到该版本即可从springboot2.x升级到3.x请查看。
Spring 框架相关漏洞详解合集_spring漏洞
2401_87167740的博客
09-18 2646
dump-显示线程转储(包括堆栈跟踪)/trace-显示最后几条HTTP消息(其中可能包含会话标识符)/logfile-输出日志文件的内容/shutdown-关闭应用程序/mappings-显示所有MVC控制器映射/env-提供对配置环境的访问/restart-重新启动应用程序。/test.htm?name=kxlzx&kxlzxcmd=calc //包含input的页面。inputkxlzx //什么名字都行。
Java 开发 框架安全:Spring 命令执行漏洞.(CVE-2022-22965)
网络安全领域___专研者.
05-07 872
Spring 框架是一个用于构建企业级应用程序的开源框架。它提供了一种全面的编程和配置模型,可以简化应用程序的开发过程。Spring 框架的核心特性包括依赖注入(Dependency Injection)、面向切面编程(Aspect-Oriented Programming)、声明式事务管理(Declarative Transaction Management)等。依赖注入是 Spring 框架的核心概念之一,它通过将对象之间的依赖关系外部化,使得对象之间的协作更加灵活和可测试。
Spring Boot 目录遍历CVE-2021-21234)
qq_23003811的博客
07-19 1109
Spring Boot 虽然检查了文件名参数以防止目录遍历攻击(因此。将不起作用),但没有充分检查基本文件夹参数,因此。可以访问日志记录目录之外的文件)。
spring6.1.13 找不到commons.CommonsMultipartResolver
11-07
Spring 6.1.13 版本并不存在,Spring 5.x 和后续版本才是官方支持的版本。如果你遇到 `org.springframework.web.multipart.commons.CommonsMultipartResolver` 类找不到的问题,可能是由于以下几个原因: 1. **依赖冲突**:检查项目的构建工具(如 Maven 或 Gradle)配置,确保已经添加了正确的 Spring Web Multipart 的依赖。如果是 Spring Boot 项目,通常不需要手动添加,它会自动包含。 ```xml <!-- Maven 示例 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Gradle 示例 --> implementation 'org.springframework.boot:spring-boot-starter-web' ``` 2. **包路径问题**:确保引入的 Commons Multipart Resolver 的库版本与 Spring 框架兼容。如果需要使用 Commons Multipart,可能需要添加 `commons-fileupload` 和 `commons-io` 库。 3. **代码引用错误**:在你的 Java 代码中,确认是否正确地引用了 `CommonsMultipartResolver` 类,检查导入语句是否正确无误。 4. **废弃功能**:从 Spring 4.x 开始,`CommonsMultipartResolver` 已经不再推荐使用,现代版本更倾向于使用 Jetty 或内置的 Spring WebMultipartResolver。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值