安全通告
关于 Spring Web UriComponentsBuilder 存在URL解析不当漏洞预警通告
发布日期:2024-3-18
[2024]005号
漏洞描述
2024年3月18日公司监测到Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22259)。SpringFramework是一个开源的Java应用程序框架,UriComponentsBuilder是SpringWeb中用于构建和操作URI的工具类。由于 UriComponentsBuilder 处理URL时未正确过滤用户信息中的方括号,导致攻击者可构造包含方括号的恶意 URL 绕过相关验证,导致开放重定向或SSRF漏洞。
漏洞编号
CVE-2024-22259
漏洞:
攻击者可构造包含方括号的恶意 URL 绕过相关验证,导致开放重定向或SSRF漏洞。
漏洞等级
高危
受影响版本
org.springframework:spring-web[6.1.0, 6.1.5)
org.springframework:spring-web[6.0.0, 6.0.18)
org.springframework:spring-web(-∞, 5.3.33)
修复方案
目前官方已经发布了解决此漏洞的相关补丁,建议受影响用户升级至安全版本。
参考链接
https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ