一、漏洞详情
spring framework是一个java应用程序框架,旨在提供高效且可扩展的开发环境。uricomponentsbuilder是spring framework提供的一个实用工具类,用于构建和处理uri。
近日,监测到spring framework中修复了一个url解析不当漏洞(cve-2024-22243)。spring framework受影响版本中,由于uricomponentsbuilder中在处理url时未正确过滤用户信息中的某些字符,可能导致威胁者构造恶意url绕过验证。当应用程序使用uricomponentsbuilder来解析外部提供的url(如通过查询参数)并对解析的url的主机执行验证检查时,可能容易受到open重定向攻击和ssrf攻击,导致网络钓鱼和内部网络探测等风险。
建议校园网用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
spring framework 6.1.0 - 6.1.3
spring framework 6.0.0 - 6.0.16
spring framework 5.3.0 - 5.3.31
以及不受更新云顶国际的技术支持的旧版本。
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
spring framework 6.1.x:升级到6.1.4
spring framework 6.0.x:升级到6.0.17
spring framework 5.3.x:升级到5.3.32
