Spring 目录遍历漏洞（CVE-2024-38816）解决

Spring 目录遍历漏洞（CVE-2024-38816）解决。125

漏洞概述

Spring Framework 中的路径遍历漏洞（CVE-2024-38816）允许攻击者通过构造恶意HTTP请求，访问服务器上的敏感文件，带来数据泄露和系统妥协的风险。1

修复建议

• 升级到修复版本：受影响用户应升级到以下版本以修复漏洞：
  • Spring Framework 5.3.x：升级到5.3.40。2
  • Spring Framework 6.0.x：升级到6.0.24。2
  • Spring Framework 6.1.x：升级到6.1.13或更高版本。2
• 启用Spring Security HTTP防火墙：对于较旧的、不受支持的版本，启用Spring Security HTTP防火墙可以提供额外的保护层。1
• 切换Web服务器：考虑切换到Tomcat或Jetty作为Web服务器，因为它们本质上会拒绝利用此漏洞的恶意请求。1

影响范围

受影响的Spring Framework版本包括：

• Spring Framework 5.3.0 - 5.3.39
• Spring Framework 6.0.0 - 6.0.23
• Spring Framework 6.1.0 - 6.1.12 以及不受支持的旧版本。2