Spring Web UriComponentsBuilder URL解析不当漏洞 (CVE-2024-22243)

漏洞类型 SSRF 发现时间 2024-02-21 漏洞等级 高危
MPS编号 MPS-uwzo-gx91 CVE编号 CVE-2024-22243 漏洞影响广度 广

漏洞危害

OSCS 描述
Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。
受影响版本中,由于 UriComponentsBuilder 处理URL时未正确过滤用户信息中的方括号 `[` ,攻击者可构造包含方括号的恶意URL绕过主机名验证。如果应用程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验,则可能导致验证绕过,出现开放重定向或SSRF漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-uwzo-gx91

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework:spring-web [6.0.0, 6.0.17) 升级 将 org.springframework:spring-web 升级至 6.0.17 及以上版本
org.springframework:spring-web [6.1.0, 6.1.4) 升级 将 org.springframework:spring-web 升级至 6.1.4 及以上版本
org.springframework:spring-web (-∞, 5.3.32) 升级 将 org.springframework:spring-web 升级至 5.3.32 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-uwzo-gx91

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-uwzo-gx91

https://spring.io/security/cve-2024-22243

https://github.com/spring-projects/spring-framework/commit/7ec5c994c147f0e168149498b1c9d4a249d69e87

https://nvd.nist.gov/vuln/detail/CVE-2024-22243

(0)
上一篇 2024年2月22日 下午2:00
下一篇 2024年2月23日 下午12:00

相关推荐

  • Doctrine modifyLimitQuery函数存在SQL注入漏洞 (MPS-zbha-6t3q)

    漏洞类型 SQL注入 发现时间 2024-05-16 漏洞等级 严重 MPS编号 MPS-zbha-6t3q CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 Doctrine是基于数据库抽像层上的ORM,它可以通过PHP对象访问所有的数据库。 受影响版本中,由于Doctrine\DBAL\Platforms\AbstractPlatfor…

    漏洞 2024年5月16日
    0
  • follow-redirects<1.15.4 主机名验证不当漏洞 (CVE-2023-26159)

    漏洞类型 输入验证不恰当 发现时间 2024-01-02 漏洞等级 高危 MPS编号 MPS-2023-5153 CVE编号 CVE-2023-26159 漏洞影响广度 极小 漏洞危害 OSCS 描述 follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。 follow-redirects 1.15.4之前版本…

    2024年1月3日
    0
  • Apache Airflow Sqoop远程代码执行漏洞 (CVE-2023-27604)

    漏洞类型 输入验证不恰当 发现时间 2023-08-28 漏洞等级 中危 MPS编号 MPS-2023-6961 CVE编号 CVE-2023-27604 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传…

    2023年9月4日
    0
  • Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

    漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计…

    2024年1月4日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月19日
    0