99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

關(guān)于 Spring Web UriComponentsBuilder 存在URL解析不當(dāng)漏洞預(yù)警通告

發(fā)布日期：2024-3-18

[2024]005號(hào)

漏洞描述

2024年3月18日公司監(jiān)測(cè)到Spring Web UriComponentsBuilder URL解析不當(dāng)漏洞(CVE-2024-22259)。SpringFramework是一個(gè)開源的Java應(yīng)用程序框架,UriComponentsBuilder是SpringWeb中用于構(gòu)建和操作URI的工具類。由于 UriComponentsBuilder 處理URL時(shí)未正確過濾用戶信息中的方括號(hào)，導(dǎo)致攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證，導(dǎo)致開放重定向或SSRF漏洞。

漏洞編號(hào)

CVE-2024-22259

漏洞危害

攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證，導(dǎo)致開放重定向或SSRF漏洞。

漏洞等級(jí)

高危
受影響版本

org.springframework:spring-web[6.1.0, 6.1.5)

org.springframework:spring-web[6.0.0, 6.0.18)

org.springframework:spring-web(-∞, 5.3.33)

修復(fù)方案

目前官方已經(jīng)發(fā)布了解決此漏洞的相關(guān)補(bǔ)丁，建議受影響用戶升級(jí)至安全版本。

參考鏈接

https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ