漏洞分析 | Spring Framework路径遍历漏洞(CVE-2024-38816)
💡
原文中文,约8800字,阅读约需21分钟。
📝
内容提要
VMware Spring Framework 存在高危目录遍历漏洞,攻击者可通过特定请求读取系统文件。受影响版本为 5.3.0 - 5.3.39 和 6.0.0 - 6.1.12。建议用户尽快升级至最新版本以防护此漏洞。
🎯
关键要点
- VMware Spring Framework 存在高危目录遍历漏洞,攻击者可通过特定请求读取系统文件。
- 受影响版本为 5.3.0 - 5.3.39 和 6.0.0 - 6.1.12。
- 建议用户尽快升级至最新版本以防护此漏洞。
- 漏洞评分为高危,CVSS 3.1 评分为 7.5。
- 漏洞分析显示,关键变更在于如何处理静态资源路径。
- 代码中进行了敏感目录检查、URL 检查和路径穿越检查。
- 存在路径字符串处理不当的问题,可能导致安全隐患。
- 攻击者可以构造特定路径实现目录穿越。
- 官方已发布可更新版本,建议受影响用户尽快升级。
➡️
