HIGHCVE-2024-38819CVSS 7.5

Spring Framework パス・トラバーサル (Path Traversal) の脆弱性

プラットフォーム

java

コンポーネント

org.springframework:spring-webflux

修正版

5.3.1

6.1.14

AI Confidence: highNVDEPSS 74.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-38819は、Spring WebfluxのWebMvc.fnまたはWebFlux.fnを介して静的リソースを提供するアプリケーションに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるHTTPリクエストを送信し、Springアプリケーションがアクセス可能なファイルシステム上の任意のファイルを取得する可能性があります。影響を受けるバージョンはSpring Webflux 6.1.9以下であり、6.1.14に修正が提供されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上の機密情報を含むファイルを読み取ることを可能にします。例えば、設定ファイル、ログファイル、ソースコードなどが対象となる可能性があります。攻撃者は、この脆弱性を利用して、サーバーの他の部分へのアクセスを試みたり、さらなる攻撃を実行するための足がかりにしたりする可能性があります。特に、静的リソースとして機密性の高いファイルが公開されている場合、攻撃の影響は甚大になる可能性があります。この脆弱性は、Spring Frameworkの他のパス・トラバーサル脆弱性と類似した攻撃パターンが想定されます。

悪用の状況

CVE-2024-38819は、2024年12月19日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations deploying Spring Boot applications that serve static resources using WebMvc.fn or WebFlux.fn are at risk, particularly those running versions of Spring Webflux prior to 6.1.14. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others.

検出手順翻訳中…

• java / server:

find / -name "spring-webflux*.jar" -exec grep -i "WebMvc.fn" {} \;

• generic web:

curl -I 'http://your-server/../../../../etc/passwd' # Attempt path traversal

攻撃タイムライン

2024-12-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

74.50% (99% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントorg.springframework:spring-webflux

ベンダーosv

影響範囲修正版

Spring Framework 5.3.0 - 5.3.40, 6.0.0 - 6.0.24, 6.1.0 - 6.1.13 – Spring Framework 5.3.0 - 5.3.40, 6.0.0 - 6.0.24, 6.1.0 - 6.1.135.3.1

6.1.06.1.14

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-19
公開日2024-12-19
更新日2025-05-28
EPSS 更新日2026-04-02

緩和策と回避策

まず、Spring Webfluxをバージョン6.1.14以上にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、静的リソースの公開を一時的に停止するか、アクセス制御を強化して、攻撃者が不正なファイルにアクセスできないようにする必要があります。Web Application Firewall (WAF) を使用して、パス・トラバーサル攻撃を検出し、ブロックすることも有効です。また、アクセス権限を最小限に抑え、アプリケーションがアクセスできるファイルへのアクセスを制限することも重要です。アップデート後、ファイルシステムへのアクセス権限を再確認し、不要なアクセス権限を削除してください。

修正方法翻訳中…

Actualice a la versión del Spring Framework que corrige esta vulnerabilidad. Consulte el anuncio de seguridad de Spring para obtener detalles sobre las versiones afectadas y las versiones corregidas. Considere aplicar las mitigaciones recomendadas por Spring si la actualización no es posible de inmediato.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-38819 — パス・トラバーサルはSpring Webfluxで何ですか？

CVE-2024-38819は、Spring Webfluxの静的リソース処理におけるパス・トラバーサル脆弱性です。攻撃者は、この脆弱性を悪用して、サーバー上の任意のファイルにアクセスする可能性があります。

CVE-2024-38819でSpring Webfluxを使用していますか？

Spring Webfluxのバージョンが6.1.9以下の場合、影響を受けます。バージョン6.1.14以上にアップデートしてください。

CVE-2024-38819を修正するにはどうすればよいですか？

Spring Webfluxをバージョン6.1.14以上にアップデートしてください。アップデートがすぐに利用できない場合は、一時的な緩和策として、静的リソースの公開を停止するか、アクセス制御を強化してください。

CVE-2024-38819は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。

CVE-2024-38819のSpring公式のアドバイザリはどこで入手できますか？

Spring公式のセキュリティアドバイザリは、[https://tanzu.vmware.com/security/cve-2024-38819](https://tanzu.vmware.com/security/cve-2024-38819)で確認できます。