Plataforma
java
Componente
org.springframework:spring-webflux
Corrigido em
5.3.1
6.1.14
A vulnerabilidade CVE-2024-38819 é um Path Traversal que afeta aplicações Spring que utilizam WebMvc.fn ou WebFlux.fn para servir recursos estáticos. Um atacante pode explorar essa falha para obter acesso a qualquer arquivo no sistema de arquivos acessível ao processo da aplicação Spring. Essa vulnerabilidade afeta versões do Spring Webflux anteriores ou iguais a 6.1.9 e pode ser mitigada atualizando para a versão 6.1.14.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no sistema de arquivos do servidor, potencialmente expondo informações confidenciais como chaves de API, senhas, dados de configuração e código-fonte. O impacto é ampliado se a aplicação Spring estiver executando com privilégios elevados, permitindo o acesso a áreas mais sensíveis do sistema. A exploração bem-sucedida pode levar à divulgação de informações, comprometimento da integridade do sistema e, em alguns casos, execução remota de código, dependendo das permissões do processo e dos arquivos acessíveis. Essa vulnerabilidade se assemelha a outros ataques de Path Traversal, onde a falta de validação adequada de entradas do usuário permite que um atacante manipule o caminho do arquivo para acessar recursos não autorizados.
A vulnerabilidade foi divulgada em 2024-12-19. Não há informações disponíveis sobre a adição a KEV (CISA KEV catalog) no momento da escrita. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza do Path Traversal torna a exploração relativamente simples. É provável que a vulnerabilidade seja explorada em campanhas direcionadas, especialmente contra aplicações Spring que não foram atualizadas.
Organizations deploying Spring Boot applications that serve static resources using WebMvc.fn or WebFlux.fn are at risk, particularly those running versions of Spring Webflux prior to 6.1.14. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others.
• java / server:
find / -name "spring-webflux*.jar" -exec grep -i "WebMvc.fn" {} \;• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
74.50% (percentil 99%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Spring Webflux para a versão 6.1.14 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso aos recursos estáticos apenas a usuários autenticados e autorizados. Implementar regras de firewall ou proxy para bloquear solicitações maliciosas que tentem acessar arquivos fora do diretório esperado. Monitore logs de acesso e erro em busca de padrões suspeitos, como tentativas de acessar arquivos com caminhos inesperados. Após a atualização, confirme a correção verificando se as solicitações para arquivos fora do diretório esperado resultam em erros 403 (Proibido) ou 404 (Não Encontrado).
Actualice a la versión del Spring Framework que corrige esta vulnerabilidad. Consulte el anuncio de seguridad de Spring para obtener detalles sobre las versiones afectadas y las versiones corregidas. Considere aplicar las mitigaciones recomendadas por Spring si la actualización no es posible de inmediato.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-38819 is a Path Traversal vulnerability affecting Spring Webflux versions up to 6.1.9, allowing attackers to access files on the server's filesystem.
You are affected if you are using Spring Webflux versions 6.1.9 or earlier and serve static resources using WebMvc.fn or WebFlux.fn.
Upgrade to Spring Webflux version 6.1.14 or later. Implement WAF rules to filter malicious path traversal attempts as a temporary workaround.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted soon.
Refer to the Spring Security Vulnerability Updates page for the latest information: https://security.spring.io/.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.