Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) (CVE-2024-22259)

漏洞类型 SSRF 发现时间 2024-03-14 漏洞等级 高危
MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 漏洞影响广度 广

漏洞危害

OSCS 描述
Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。
由于对CVE-2024-22243的修复不充分,攻击者可构造一下两类 url 绕过主机名验证,导致开放重定向或SSRF漏洞:
1、包含以 http 开头的 scheme 但不包含 host;
2、url 中的 host 以 `[` 开头但不以 `]` 结尾。
参考链接:https://www.oscs1024.com/hd/MPS-vhl4-ut8e

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework:spring-web [6.1.0, 6.1.5) 升级 将 org.springframework:spring-web 升级至 6.1.5 及以上版本
org.springframework:spring-web [6.0.0, 6.0.18) 升级 将 org.springframework:spring-web 升级至 6.0.18 及以上版本
org.springframework:spring-web (-∞, 5.3.33) 升级 将 org.springframework:spring-web 升级至 5.3.33 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-vhl4-ut8e

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-vhl4-ut8e

https://spring.io/security/cve-2024-22259

https://github.com/spring-projects/spring-framework/commit/1d2b55e670bcdaa19086f6af9a5cec31dd0390f0

(0)
上一篇 2024年3月14日 下午12:00
下一篇 2024年3月15日 下午4:00

相关推荐

  • Atlassian Confluence 权限提升漏洞 (CVE-2023-22515)

    漏洞类型 输入验证不恰当 发现时间 2023-10-04 漏洞等级 严重 MPS编号 MPS-2023-0016 CVE编号 CVE-2023-22515 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Confluence Data Center 和 Confluence Ser…

    2023年10月9日
    0
  • Apache OFBiz 目录遍历导致RCE漏洞 (CVE-2024-32113)

    漏洞类型 路径遍历 发现时间 2024-05-08 漏洞等级 严重 MPS编号 MPS-whuo-m9s3 CVE编号 CVE-2024-32113 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。 在18.12.13之前的版本中,ControlFilt…

    漏洞 2024年5月10日
    0
  • VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039)

    漏洞类型 身份验证不当 发现时间 2023-08-30 漏洞等级 严重 MPS编号 MPS-d9wr-56qm CVE编号 CVE-2023-34039 漏洞影响广度 广 漏洞危害 OSCS 描述 VMware Aria Operations for Networks 是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMwar…

    2023年9月1日
    0
  • Microsoft Windows Themes 远程代码执行漏洞(POC公开) (CVE-2023-38146)

    漏洞类型 命令注入 发现时间 2023-09-15 漏洞等级 高危 MPS编号 MPS-ntyd-m53q CVE编号 CVE-2023-38146 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows操作系统上,.theme文件是一种用于定义桌面主题和外观设置的文件。 Windows11 受影响版本中存在远程代码执行漏洞。当.theme文件中引用了….

    2023年9月16日
    0
  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0