Plataforma
java
Componente
org.springframework:spring-webflux
Corregido en
5.3.1
6.1.14
La vulnerabilidad CVE-2024-38819 es un fallo de Path Traversal que afecta a las aplicaciones que sirven recursos estáticos a través de los frameworks WebMvc.fn o WebFlux.fn de Spring. Un atacante puede explotar esta vulnerabilidad para acceder a cualquier archivo del sistema operativo al que tenga acceso el proceso de la aplicación Spring. Esta vulnerabilidad afecta a versiones de Spring Webflux hasta la 6.1.9, y se ha solucionado en la versión 6.1.14.
La principal consecuencia de esta vulnerabilidad es la exposición de información sensible almacenada en el sistema de archivos. Un atacante podría acceder a archivos de configuración, claves de API, contraseñas, código fuente o cualquier otro dato almacenado en el sistema. Esto podría resultar en la divulgación de información confidencial, la escalada de privilegios o incluso la ejecución remota de código si se accede a archivos ejecutables. La severidad del impacto depende de los permisos del proceso de la aplicación Spring y de la sensibilidad de los archivos accesibles. La facilidad de explotación, combinada con el potencial de acceso a información crítica, convierte a esta vulnerabilidad en un riesgo significativo para las organizaciones que utilizan Spring Webflux.
La vulnerabilidad CVE-2024-38819 fue publicada el 19 de diciembre de 2024. No se ha añadido al KEV de CISA al momento de esta redacción. No se han reportado públicamente exploits activos, pero la disponibilidad de la descripción de la vulnerabilidad y su relativa facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Organizations deploying Spring Boot applications that serve static resources using WebMvc.fn or WebFlux.fn are at risk, particularly those running versions of Spring Webflux prior to 6.1.14. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others.
• java / server:
find / -name "spring-webflux*.jar" -exec grep -i "WebMvc.fn" {} \;• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
74.50% (99% percentil)
CISA SSVC
Vector CVSS
La solución recomendada es actualizar a la versión 6.1.14 de Spring Webflux o superior. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Una opción es restringir el acceso a los recursos estáticos a través de una configuración de seguridad más estricta, limitando las rutas accesibles. Otra medida es implementar un Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Se recomienda revisar y endurecer los permisos del proceso de la aplicación Spring para limitar el acceso a los archivos del sistema. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de path traversal son bloqueadas o redirigidas correctamente.
Actualice a la versión del Spring Framework que corrige esta vulnerabilidad. Consulte el anuncio de seguridad de Spring para obtener detalles sobre las versiones afectadas y las versiones corregidas. Considere aplicar las mitigaciones recomendadas por Spring si la actualización no es posible de inmediato.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-38819 is a Path Traversal vulnerability affecting Spring Webflux versions up to 6.1.9, allowing attackers to access files on the server's filesystem.
You are affected if you are using Spring Webflux versions 6.1.9 or earlier and serve static resources using WebMvc.fn or WebFlux.fn.
Upgrade to Spring Webflux version 6.1.14 or later. Implement WAF rules to filter malicious path traversal attempts as a temporary workaround.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted soon.
Refer to the Spring Security Vulnerability Updates page for the latest information: https://security.spring.io/.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.