【安全资讯】CVE-2024-38816：Spring Framework路径遍历漏洞威胁数百万应用

概要：

近日，流行的Spring Framework中发现了一个严重的安全漏洞，编号为CVE-2024-38816（CVSS评分7.5），可能影响全球数百万Java应用程序。该路径遍历漏洞允许攻击者未经授权访问服务器上的敏感文件，带来数据泄露和系统妥协的重大风险。

主要内容：

该漏洞存在于Spring Framework处理通过WebMvc.fn或WebFlux.fn功能性Web框架提供的静态资源的方式中。攻击者可以通过构造恶意HTTP请求，绕过安全措施，从服务器的文件系统中检索任意文件，包括配置文件、源代码和用户数据。具体而言，当Web应用程序使用RouterFunctions提供静态资源且资源处理明确配置为FileSystemResource位置时，应用程序易受攻击。

然而，当以下任一条件成立时，恶意请求将被阻止和拒绝：使用Spring Security HTTP防火墙，应用程序运行在Tomcat或Jetty上。由于Spring Framework被广泛应用于各个行业和应用程序中，CVE-2024-38816漏洞的影响范围广泛。任何使用受影响版本的Spring Framework（5.3.0至5.3.39，6.0.0至6.0.23和6.1.0至6.1.12）并通过易受攻击组件提供静态资源的应用程序都面临风险。

Spring团队已发布修补版本以解决此漏洞。组织必须立即升级其Spring Framework安装到最新版本。最有效的缓解措施是升级到修复版本：5.3.40，6.0.24或6.1.13，具体取决于当前版本。对于较旧的、不受支持的版本，启用Spring Security HTTP防火墙可以提供额外的保护层。如果可行，考虑切换到Tomcat或Jetty作为Web服务器，因为它们本质上会拒绝利用此漏洞的恶意请求。