Platform
java
Component
org.springframework:spring-webflux
Opgelost in
5.3.1
6.1.14
CVE-2024-38819 beschrijft een Path Traversal kwetsbaarheid in Spring Webflux, specifiek in de functional web frameworks WebMvc.fn en WebFlux.fn. Deze kwetsbaarheid stelt aanvallers in staat om via kwaadaardige HTTP-verzoeken toegang te krijgen tot bestanden op het bestandssysteem die toegankelijk zijn voor het proces waarin de Spring applicatie draait. De kwetsbaarheid treft versies van Spring Webflux tot en met 6.1.9. Een fix is beschikbaar in versie 6.1.14.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server. Dit omvat potentieel configuratiebestanden, broncode, logbestanden en andere kritieke gegevens. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller gevoelige informatie stelen, de integriteit van het systeem compromitteren of zelfs de controle over de server overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden, waarbij de aanvaller de directory structuur kan navigeren om bestanden buiten de beoogde webroot te benaderen. De blast radius is afhankelijk van de permissies van het proces waarin de Spring applicatie draait.
CVE-2024-38819 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes op dit moment, maar de publicatie van de kwetsbaarheid en de relatief eenvoudige exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn publieke proof-of-concept exploits beschikbaar.
Organizations deploying Spring Boot applications that serve static resources using WebMvc.fn or WebFlux.fn are at risk, particularly those running versions of Spring Webflux prior to 6.1.14. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others.
• java / server:
find / -name "spring-webflux*.jar" -exec grep -i "WebMvc.fn" {} \;• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
74.50% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-38819 is het upgraden van Spring Webflux naar versie 6.1.14 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke workarounds zoals het beperken van de toegang tot statische resources via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met paden die buiten de toegestane webroot vallen te blokkeren. Controleer ook de configuratie van de Spring applicatie om te zorgen voor een strikte padvalidatie en beperking van de toegankelijke bestanden. Na de upgrade, verifieer de fix door te proberen een bestand buiten de webroot te benaderen via een HTTP-verzoek; dit zou moeten resulteren in een 403 Forbidden fout.
Actualice a la versión del Spring Framework que corrige esta vulnerabilidad. Consulte el anuncio de seguridad de Spring para obtener detalles sobre las versiones afectadas y las versiones corregidas. Considere aplicar las mitigaciones recomendadas por Spring si la actualización no es posible de inmediato.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-38819 is a Path Traversal vulnerability affecting Spring Webflux versions up to 6.1.9, allowing attackers to access files on the server's filesystem.
You are affected if you are using Spring Webflux versions 6.1.9 or earlier and serve static resources using WebMvc.fn or WebFlux.fn.
Upgrade to Spring Webflux version 6.1.14 or later. Implement WAF rules to filter malicious path traversal attempts as a temporary workaround.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted soon.
Refer to the Spring Security Vulnerability Updates page for the latest information: https://security.spring.io/.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.