Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243)

于 2024-05-29 14:54:46 发布
阅读量636 收藏
点赞数 4
文章标签: spring 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxnwdcbb/article/details/139295884
版权

springboot 版本2.x   的  解决 办法

在properties下 加 

<spring-framework.version>5.3.33</spring-framework.version>

指定framework 版本  需要注意的是   跨域

.allowedOriginPatterns("*")  得替换成他。
hxnwdcbb
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Framework UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22243
m0_50797689的博客
03-01 2058
Spring Web UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22243
Spring Framework UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22259)
m0_50797689的博客
03-15 1381
Spring Framework UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22259)
spring boot 修复 Spring Framework URL解析不当漏洞CVE-2024-22243
记录点滴
02-28 8924
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级到3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
关于Spring Framework URL解析不当漏洞CVE-2024-22243)的安全预警
IT小辉同学
03-21 1333
真正的爱情是不要教他技巧,就笨一点挺好,就算有失败,表白错误,或者是被表白错误都挺正常的,教多了过分替对方着想,这不是爱,这是技巧。 真爱是不需要技巧的,家庭生活需要技巧,但真爱不需要,本身就是爱的探索过程,事后回忆起来也挺美好。我只告诉他最基本的原则就够了,相互不伤害。
Spring Web URL 解析常见错误
xiaoshitou_2015的博客
02-05 1523
然而,从现实情况来看,在使用上,我们更多地是使用 Spring 来构建一个 Web 服务,所以从这节课开始,我们会重点解析Spring Web 开发中经常遇到的一些错误,帮助你规避这些问题。3. 任何一个参数,我们都需要考虑它是可选的还是必须的。很明显,若要判定一个参数是否是必须的,需要同时满足两个条件:条件 1 是 @RequestParam 指明了必须(即属性 required 为 true,实际上它也是默认值),条件 2 是要求 @RequestParam 标记的参数本身不是可选的。
Spring 自带工具——URI 工具UriComponentsBuilder
a1137588003的博客
09-03 2349
Spring Framework 提供的一个实用工具类,用于构建 URI(Uniform Resource Identifier)。URI 是用于标识和定位资源的字符串,例如 URL(Uniform Resource Locator)就是一种特殊的 URI允许您以一种简单、安全和灵活的方式构建 URI,特别是在处理带有查询参数、路径变量和片段的复杂 URI 时非常有用。以下是fragment()
Spring Boot使用自带工具UriComponentsBuilder构建URL
qq_43719388的博客
09-14 3627
记录贴:项目中有用到构造URL用于重定向的方式,之前也做过几次,但是没有记录,每次都需要寻找记录,但有的优秀博文可能会随时间流逝而丢失,于是做个记录和整合。 参考链接: UriComponentsBuilder 拼装 url Java UriComponentsBuilder.fromUriString方法代碼示例 1.引入依赖 <!--因为UriComponentsBuilder是org.springframework.web.util下的--> <!--对于Spring boo.
Day609.SpringWebURL解析常见错误 -Spring编程常见错误
阿昌爱Java
05-06 1031
SpringWebURL解析常见错误 虽然Spring很强大,他有很多很多的功能。 但是他最主要大部分的使用领域还是在Web开发领域。 针对Web开发,那必然会涉及到Http请求,那请求的URI就十分的重要。 Spring是如何对Http请求中URI进行解析的呢???而期间Spring会出现很多哪些常见的问题呢? 一、当 @PathVariable 遇到 / 在解析一个 URL 时,我们可能会使用到 @PathVariable 这个注解。例如我们会经常见到如下风格的代码: @RestController
URL 解析与鉴权中的陷阱 —— Spring
有价值炮灰
09-10 404
相比于传统的 JavaEE Web 应用,Spring 基于全匹配的 DispatcherServlet 实现了一套应用层的路由方案,并且在依赖注入的加持下使得业务开发和配置变得更加方便。这一套路由方案屏蔽了底层 Servlet 容器的解析差异,但同时也引入了 Spring 特有的解析陷阱。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复。CVE(Common Vulnerabilities and Exposures)...
openssh9.8p1安装升级rpm包,修复CVE-2024-6387漏洞
最新发布
07-13
安装版本:OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023 升级步骤 1、上传文件到opt目录; 2、yum remove openssh 3、yum localinstall openssh-* 4,检查版本 ssh -V 注意,由于需要卸载oepnssh,需要保持连接状态...
UriComponentsBuilder 拼接URL解析URL
热门推荐
sayyy的专栏
05-19 1万+
前言 关于URI参考这里。 springboot 2.1.1.RELEASE UriComponentsBuilder UriComponentsBuilderUriBuilder的实现。针对Servlet,还派生出来ServletUriComponentsBuilder。 使用过UriComponentsBuilder 的都知道,很好用 快速来个示例 String url = UriComponentsBuilder.fromUriString("http://mydomain/api/ge
[web安全-文件上传漏洞解析,及常见绕过方式]简单易懂超友好
m0_73033023的博客
04-20 2669
有时候服务器会对上传上去的图片进行二次渲染,生成一张新的图片,从而过滤掉webshell脚本,这时只需要将渲染后的图片与渲染前的图片进行对比,查看二者相同的地方,也就是渲染未改动的地方,在此处插入webshell脚本即可,网上推荐用gif图片。如果程序里面存在这种漏洞,那么恶意攻击者可以直接向你的服务器上传一个 webshell( 又称 ASP 木马、PHP 木马、JAVA木马等即利用服务器端的文件操作语句写成的动态网页,可以用来编辑你服务器上的文件 ),从而控制你的网站。
springboot2.x升级到3.x注意事项汇总
记录点滴
03-06 2051
随着Spring Framework URL解析不当漏洞CVE-2024-22243)的发布,springboot升级到3.x迫在眉睫,2.x的版本官方并未提供该漏洞的修复版本,后续应该也不会再发布新的版本。2.x升级到3.x是一次大的跨越,接下来,本人结合实践经验,浅淡一下需要注重的地方。
Spring框架漏洞合集
小小猪的博客
08-18 7889
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
CVE-2024-22243
03-15
很抱歉,我无法提供关于CVE-22243的具体信息,因为我无法访问实时的漏洞数据库。但是,一般来说,CVE(Common Vulnerabilities and Exposures)是一个用于标识和跟踪公开已知的计算机安全漏洞的字典。每个CVE条目都包含一个唯一的标识符,以及有关该漏洞的描述、影响范围和可能的解决方案。 如果您对CVE-2024-22243感兴趣,我建议您查阅相关的安全漏洞数据库或咨询安全专家以获取更详细的信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值