漏洞修复：CVE-2024-38808、CVE-2024-38809

最新推荐文章于 2025-03-10 23:20:07 发布

伪墨

最新推荐文章于 2025-03-10 23:20:07 发布

阅读量1.8k

点赞数 2

文章标签： 1024程序员节

本文链接：https://blog.csdn.net/qq997404392/article/details/143199178

版权

漏洞名称：
Spring Framework安全漏洞

漏洞编号：
CVE-2024-38808、CVE-2024-38809

风险等级：
高危

漏洞分类：
开源组件漏洞

漏洞描述：
1. SpEL 表达式导致的 DoS 漏洞；
2. Spring 框架在处理 HTTP 请求时，当从 “If-Match” 或 “If-None-Match” 条件请求请求头解析 ETag 请求头时，很容易会受到 DoS 的攻击。

影响范围：
Spring Framework 6.1.0 - 6.1.11；6.0.0 - 6.0.22；5.3.0 - 5.3.38；其他老版本都受影响

解决方案：
升级springboot、springcloud及spring-framework版本：

<spring.boot.version>2.7.12</spring.boot.version>
<spring.cloud.version>2021.0.7</spring.cloud.version>
<spring.core.version>5.3.39</spring.core.version>

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

伪墨

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

漏洞修复：Apache Tomcat 安全漏洞(CVE-2024-50379) | Apache Tomcat 安全漏洞(CVE-2024-52318)

专注于计算机研发知识和资讯分享

01-23

1775

解决方案：升级到最新版Tomcat。

最新漏洞：Spring Framework远程代码执行漏洞

「虚幻私塾」

04-01

553

Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Spring Framework远程代码执行漏洞发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围：同时满足以下三个条件可确定受此漏洞影响： JDK 版本 >= 9 使用了 Spring 框架或衍生框架项目中

参与评论您还未登录，请先登录后发表或查看评论

Spring Boot: 2.7.x 至 2.7.18 及更旧的版本，漏洞说明

曼陀罗的博客

08-16

6780

在 Spring Framework 版本 5.3.0 至 5.3.38 及更早的不受支持版本中，如果应用程序评估了用户提供的 SpEL（Spring Expression Language）表达式，攻击者可以利用特制的表达式导致拒绝服务（DoS）攻击。Spring Framework: 5.3.0 至 5.3.38 及更早的版本 Spring Boot: 2.7.x 至 2.7.18 及更早的版本建议受影响版本的用户升级到以下修复版本： Spring Boot: 3）缓解措施建议受影响版本的用户升

springboot 修复 Spring Framework 特定条件下目录遍历漏洞（CVE-2024-38819）

最新发布

m0_74824877的博客

03-10

971

刚解决Spring Framework 特定条件下目录遍历漏洞（CVE-2024-38816）没几天，又来一个新的，真是哭笑不得啊。不过没关系，springboot官方又发布了新的版本3.3.5，将项目升级到该版本即可从springboot2.x升级到3.x请查看。

Spring 框架相关漏洞详解合集_spring漏洞

2401_87167740的博客

09-18

2664

dump-显示线程转储（包括堆栈跟踪）/trace-显示最后几条HTTP消息（其中可能包含会话标识符）/logfile-输出日志文件的内容/shutdown-关闭应用程序/mappings-显示所有MVC控制器映射/env-提供对配置环境的访问/restart-重新启动应用程序。/test.htm?name=kxlzx&kxlzxcmd=calc //包含input的页面。inputkxlzx //什么名字都行。

漏洞分析 Spring Framework路径遍历漏洞（CVE-2024-38816）

geinvse_seg的博客

12-06

1160

VMware Spring Framework是美国威睿（VMware）公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期，监测到Spring Framework在特定条件下，存在目录遍历漏洞（网宿评分：高危、CVSS 3.1 评分：7.5）：当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时，攻击者可构造恶意请求遍历读取系统上的文件。

Spring 和 Nacos 双双爆出安全漏洞！！

Java技术栈，分享最主流的Java技术

08-16

1511

大家好，我是R哥。这两天看到 Spring 和 Nacos 官方双双发布了安全漏洞，，下面我会具体说明问题并提供解决办法。

开机就能打？没那么玄乎！客观分析 “狂躁许可”漏洞（CVE-2024-38077）及其影响范围

C20220511的博客

09-02

1229

今年早些时候，我们对 Windows 远程桌面服务进行了深入分析，发现了多个漏洞，所有相关漏洞（56 例）都已报告给微软。在本文中，我们介绍了漏洞 CVE-2024-38077（我们将其命名为 MadLicense【狂躁许可】），并在启用了完整和新缓解措施的 Windows Server 2025 上演示了该漏洞的利用。核心原因是作者把大量漏洞报送给微软后，微软对其提交的漏洞进行了合并，并“轻描淡写”的进行了补丁升级，在补丁上也把该漏洞标记为了“不太可能被利用”，对作者本人也并未做出任何回应。

关于Spring Framework路径遍历漏洞（CVE-2024-38816）的预警提示和修复方案

洛阳泰山的博客

10-15

6803

是一个Java应用程序框架，旨在提供高效且可扩展的开发环境。近日，监测到中修复了一个路径遍历漏洞（受影响版本中，使用WebMvc.fn或WebFlux.fn（在或框架中）提供静态资源的应用程序容易受到路径遍历攻击，当Web 应用程序使用提供静态资源并且应用程序使用或类似的配置来从文件系统提供静态文件时，威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件，从而导致数据泄露。建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

exp:CVE-2024-2961将phpfilter任意文件读取提升为远程代码执行（RCE）

10-30

CVE-2024-2961这个案例展示了即使是最初的评估认为危害较小的漏洞，也可能存在被进一步利用的风险。因此，从设计、实施到运维的每一个环节都需保持警惕，密切关注安全漏洞的最新动态，及时采取措施，以避免潜在的...

CVE-2024-38819：Spring 框架路径遍历 PoC 漏洞复现

12-16

CVE-2024-38819漏洞是一个影响Spring框架的严重安全漏洞。Spring框架是广泛应用于Java开发中的一个开源框架，它提供了全面的编程和配置模型。该漏洞特别关注于路径遍历问题，这是一种安全漏洞，攻击者可以利用它来...

Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理

企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net

08-14

6880

现场的为中小型项目，未直接使用功能tomcat作为容器使用，仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用，从而保证项目包可直接运行 webapp项目，无需再部署到额外的tomcat服务了；当不想因为Tomcat就改变SpringBoot的版本时，可以采用排除SpringBoot中的Tomcat包，然后手动指定新的Tomcat的版本来实现升级内置组件的目的，当然还要引入Tomcat相关的包。其中，Coyote作为Tomcat的。

exploit （Linux 内核CVE-2024-1086漏洞复现脚本）

06-06

Linux 内核CVE-2024-1086漏洞复现脚本。在普通用户下，将文件上传后，chmod 777 exploit ，然后运行 ./exploit ，提权成功，输入id，可看到已经是root权限。

spring boot 修复 Spring Framework URL解析不当漏洞（CVE-2024-22243）