Spring框架存在路徑穿越漏洞，恐對網頁應用程式造成資安風險[轉載自IThome]

文/周峻佑 | 2024-10-18發表

10月17日Spring開發團隊發布資安公告，指出Spring Framework存在路徑穿越漏洞CVE-2024-38819，該漏洞影響6.1.13、6.0.24、5.3.40及以下版本，他們推出6.1.14、6.0.25、5.3.41版進行修補。

針對這項漏洞出現的原因，該公司表示，應用程式藉由網頁框架WebMvc.fn或WebFlux.fn提供靜態資源的過程中，容易受到路徑穿越攻擊，攻擊者只要發送惡意HTTP請求，就有機會藉由正在運作的Spring應用程式處理程序，取得檔案系統的任意檔案。

他們補充說明，這項漏洞相當類似於一個月前修補的CVE-2024-38816（CVSS風險為7.5分）。但究竟CVE-2024-38819有多嚴重？他們並未提供風險評分資訊。