Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过)
漏洞描述
Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。
由于对CVE-2024-22243的修复不充分,攻击者可构造一下两类 url 绕过主机名验证,导致开放重定向或SSRF漏洞:
1、包含以 http 开头的 scheme 但不包含 host;
2、url 中的 host 以 [ 开头但不以 ] 结尾。
| 漏洞名称 | Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) |
|---|---|
| 漏洞类型 | SSRF |
| 发现时间 | 2024-03-14 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-vhl4-ut8e |
| CVE编号 | CVE-2024-22259 |
| CNVD编号 | - |
影响范围
org.springframework:spring-web@[6.1.0, 6.1.5)
org.springframework:spring-web@[6.0.0, 6.0.18)
org.springframework:spring-web@(-∞, 5.3.33)
修复方案
将 org.springframework:spring-web 升级至 6.1.5 及以上版本
将 org.springframework:spring-web 升级至 6.0.18 及以上版本
将 org.springframework:spring-web 升级至 5.3.33 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-vhl4-ut8e
https://spring.io/security/cve-2024-22259
https://github.com/spring-projects/spring-framework/commit/1d2b55e670bcdaa19086f6af9a5cec31dd0390f0
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Argo CD 存在 csrf 漏洞
漏洞描述 Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。 受影响版本中,由于未对 argocd.argoproj.io 注释中的URL协议正确过滤,具有 ArgoCD 管理资源的写入权限的攻击者可在 UI 中注入 javascript: 链接。当受害用户点击时,脚本将以受害者的权限(包括管理员权限)执行,进而执行创建API、修改和删除 Kubernetes 资源等操作。 漏洞名称 Argo CD 存在 csrf 漏洞 漏洞类型 CSRF 发现时间 2024-03-14 漏洞影响广度 广 MPS编号 MPS-foxv-68g9 CVE编号 CVE-2024-28175 CNVD编号 - 影响范围 argo-cd@[1.0, 2.10.3) argo-cd@[2.9.7, 2.9.8) argo-cd@[2.8.11, 2.8.12) github.com/argoproj/argo-cd/v2@[1.0, 2.10.3) github.com/argoproj/argo-cd/v2@[2.9.7, 2.9...
- 下一篇
离职后可以删除自己所编写的软件吗?
一名开发者近日在 StackExchange 问答社区的“法律”板块发布了一个求助帖,咨询“如果在从公司离职时,删除了自己所编写的软件”是否要承担相关的责任。 根据这名开发者的表述,他现在住在美国,属于自由职业者,不存在雇佣合同关系。但他年轻的时候,曾在一家仓库以小时工的身份从事与库存相关的工作。彼时,为了让自己的工作更轻松,他编写了一款可将大量的手工操作自动化的软件。之后,与他同岗位的其他人也开始使用这一软件来提升工作效率。 但作为软件作者的他基本属于无偿贡献,公司从未给过他任何实际的回报或奖赏。时至今日,他也不再指望可以得到任何补偿;不过却萌生了一个想法:“如果我在离职时删除了我的代码,我会承担责任吗?” 这一帖子在论坛引起了热烈的讨论,其中一个高赞回答对问题进行了分析,并言简意赅的给出如下建议: 如果你是在工作时间(朝九晚五)写的这个软件,并为此获得了报酬,那么公司就拥有该软件的所有权。即使他们不知道是你写的。因此,删除该软件就是对公司财产的损害。 如果软件是你利用业余时间编写的,那么在法律上就比较棘手了。你的工作性质会有不同。如果你没有从中得到任何好处,我的建议是放弃该软件。毁...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Red5直播服务器,属于Java语言的直播服务器
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)
微信收款码
支付宝收款码