安全通告
關(guān)于 Spring Web UriComponentsBuilder 存在URL解析不當(dāng)漏洞預(yù)警通告
發(fā)布日期:2024-3-18
[2024]005號(hào)
漏洞描述
2024年3月18日公司監(jiān)測(cè)到Spring Web UriComponentsBuilder URL解析不當(dāng)漏洞(CVE-2024-22259)。SpringFramework是一個(gè)開源的Java應(yīng)用程序框架,UriComponentsBuilder是SpringWeb中用于構(gòu)建和操作URI的工具類。由于 UriComponentsBuilder 處理URL時(shí)未正確過濾用戶信息中的方括號(hào),導(dǎo)致攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證,導(dǎo)致開放重定向或SSRF漏洞。
漏洞編號(hào)
CVE-2024-22259
漏洞危害
攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證,導(dǎo)致開放重定向或SSRF漏洞。
漏洞等級(jí)
高危
受影響版本
org.springframework:spring-web[6.1.0, 6.1.5)
org.springframework:spring-web[6.0.0, 6.0.18)
org.springframework:spring-web(-∞, 5.3.33)
修復(fù)方案
目前官方已經(jīng)發(fā)布了解決此漏洞的相關(guān)補(bǔ)丁,建議受影響用戶升級(jí)至安全版本。
參考鏈接
https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ