Spring Framework 爆出高危路径遍历漏洞 CVE-2024-38819，攻击者可利用此漏洞访问服务器上的敏感文件。该漏洞影响使用 WebMvc.fn 或 WebFlux.fn 提供静态资源的 Spring 应用，攻击者通过构造恶意 HTTP 请求，可访问底层文件系统。Aeye 安全实验室发现并报告了此漏洞，并发布了 PoC 漏洞。受影响版本包括 5.3.0 至 5.3.40、6.0.0 至 6.0.24 以及 6.1.0 至 6.1.13。Spring 官方已发布修复版本，建议用户立即升级到 5.3.41、6.0.25 或 6.1.14。

🚨**漏洞详情**: CVE-2024-38819 允许攻击者进行路径遍历攻击，访问托管 Spring 应用的服务器上的敏感文件，CVSS 评分为 7.5，属于高危漏洞。

🌐**影响范围**: 该漏洞主要影响使用 WebMvc.fn 或 WebFlux.fn 提供静态资源的 Spring 应用，利用恶意 HTTP 请求可访问服务器底层文件系统，威胁严重。

🛠️**修复建议**: Spring Framework 团队已发布修复版本，用户应立即升级至 5.3.41、6.0.25 或 6.1.14，以避免遭受攻击，旧版本也存在风险需尽快处理。

Spring Framework 中的一个关键漏洞（CVE-2024-38819，CVSS 得分 7.5）以及一个概念验证 (PoC) 漏洞已被公开披露。该漏洞允许攻击者进行路径遍历攻击，从而可能允许他们访问托管受影响 Spring 应用程序的服务器上的敏感文件。该漏洞会影响使用功能 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序。该漏洞由 Aeye 安全实验室的 Masato Anzai 发现并报告，攻击者可利用该漏洞制作恶意 HTTP 请求，访问底层文件系统上的敏感文件。有漏洞的 Spring 应用程序所运行的进程必须能访问这些文件。Anzai 还在 GitHub 上发布了一个概念验证（PoC）漏洞，展示了如何轻松利用 CVE-2024-38819。该漏洞对没有采取适当安全措施的静态资源服务应用程序构成严重威胁。该漏洞影响以下版本的 Spring Framework：5.3.0 至 5.3.406.0.0 至 6.0.246.1.0 至 6.1.13较旧的、不受支持的框架版本也存在漏洞。Spring Framework 团队已发布修补程序来解决此漏洞。强烈建议用户立即升级到以下修复版本：5.3.x → 升级至 5.3.416.0.x → 升级到 6.0.256.1.x → 升级到 6.1.14