Spring Framework 路径遍历漏洞 (Path Traversal vulnerability)

攻击者可以利用此漏洞读取服务器上的敏感文件，例如配置文件、密钥文件、甚至源代码。这可能导致应用程序的机密信息泄露，例如数据库密码、API 密钥等。更严重的场景下，攻击者可能利用此漏洞修改服务器上的文件，从而篡改应用程序的行为，甚至导致系统被完全控制。由于 Spring Webflux 广泛应用于企业级 Java 应用程序中，该漏洞的潜在影响范围非常广，可能影响大量用户和系统。

Organizations deploying Spring Boot applications that serve static resources using WebMvc.fn or WebFlux.fn are at risk, particularly those running versions of Spring Webflux prior to 6.1.14. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others.

• java / server:

find / -name "spring-webflux*.jar" -exec grep -i "WebMvc.fn" {} \;

• generic web:

curl -I 'http://your-server/../../../../etc/passwd' # Attempt path traversal

1. 2024-12-19Disclosure

   disclosure

1. 已保留2024-06-19
2. 发布日期2024-12-19
3. 修改日期2025-05-28
4. EPSS 更新日期2026-04-02

最有效的缓解措施是升级到 Spring Webflux 6.1.14 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制对静态资源的访问，只允许访问必要的资源。其次，配置 Web 服务器，以禁止访问文件系统上的敏感目录。第三，实施严格的访问控制策略，限制应用程序对文件系统的访问权限。如果升级过程中出现问题，可以尝试回滚到之前的稳定版本，并在升级前进行充分的测试。使用 Web 应用程序防火墙 (WAF) 可以过滤掉恶意的 HTTP 请求，从而减轻漏洞的影响。