• 漏洞编号：CVE-2024-38816
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2024-09-13

漏洞描述

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年9月，Spring官方发布公告披露 CVE\-2024\-38816 Spring Framework 特定条件下目录遍历漏洞。当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件 时，攻击者可构造恶意请求遍历读取系统上的文件。

修复建议

1. 建议更新至最新版本。 2. 排查代码中是否有类似使用，结合实际情况可确认是否实际受影响。

参考链接

https://spring.io/security/cve-2024-38816

https://avd.aliyun.com/detail?id=AVD-2024-38816