Path Traversal-Schwachstelle in Spring Web Frameworks entdeckt
Am 12. September 2024 wurde eine Path Traversal-Schwachstelle (CVE-2024-38816) in den funktionalen Web-Frameworks WebMvc.fn und WebFlux.fn entdeckt. Anwendungen, die statische Ressourcen über diese Frameworks bereitstellen, sind anfällig für Angriffe, bei denen Angreifer Zugriff auf Dateien des Dateisystems erhalten können. Dies betrifft Anwendungen, die RouterFunctions mit einem FileSystemResource-Standort verwenden.
Nicht betroffen sind Anwendungen, die den Spring Security HTTP Firewall, Tomcat oder Jetty nutzen, da diese bösartige Anfragen blockieren.
Nutzer sollten auf die gepatchten Versionen (5.3.40, 6.0.24, 6.1.13) aktualisieren. Für ältere Versionen empfiehlt sich die Aktivierung der Spring Security Firewall oder die Nutzung von Tomcat oder Jetty als Webserver.