Am 12. September 2024 wurde eine Path Traversal-Schwachstelle (CVE-2024-38816) in den funktionalen Web-Frameworks WebMvc.fn und WebFlux.fn entdeckt. Anwendungen, die statische Ressourcen über diese Frameworks bereitstellen, sind anfällig für Angriffe, bei denen Angreifer Zugriff auf Dateien des Dateisystems erhalten können. Dies betrifft Anwendungen, die RouterFunctions mit einem FileSystemResource-Standort verwenden.
Nicht betroffen sind Anwendungen, die den Spring Security HTTP Firewall, Tomcat oder Jetty nutzen, da diese bösartige Anfragen blockieren.
Nutzer sollten auf die gepatchten Versionen (5.3.40, 6.0.24, 6.1.13) aktualisieren. Für ältere Versionen empfiehlt sich die Aktivierung der Spring Security Firewall oder die Nutzung von Tomcat oder Jetty als Webserver.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: