CVE-2024-38816

Versões do Spring Framework de 5.3.0 a 5.3.39

Versões do Spring Framework 6.0.0 a 6.0.23

Versões do Spring Framework 6.0.24 a 6.1.12

Versões do Spring Framework 6.1.13 e anteriores

A vulnerabilidade está relacionada a ataques de traversal de caminho nos frameworks web funcionais WebMvc.fn e WebFlux.fn do Spring Framework. Um invasor pode criar solicitações HTTP maliciosas para obter qualquer arquivo no sistema de arquivos que também seja acessível ao processo no qual o aplicativo Spring está sendo executado. Isso pode ocorrer quando o aplicativo web utiliza RouterFunctions para servir recursos estáticos e o gerenciamento de recursos é explicitamente configurado com um local FileSystemResource. No entanto, solicitações maliciosas são bloqueadas e rejeitadas quando o Spring Security HTTP Firewall está em uso ou o aplicativo é executado no Tomcat ou no Jetty. O problema afeta potencialmente milhões de aplicativos Java em todo o mundo.

Para as versões 5.3.0 a 5.3.39 do Spring Framework, atualize para a versão 5.3.40 ou posterior.

Para as versões 6.0.0 a 6.0.23 do Spring Framework, atualize para a versão 6.0.24 ou posterior.

Para as versões 6.0.24 a 6.1.12 do Spring Framework, atualize para a versão 6.1.13 ou posterior.

Para as versões 6.1.13 e anteriores do Spring Framework, atualize para uma versão posterior à 6.1.13.

Como solução alternativa temporária, considere desativar o uso de RouterFunctions para servir recursos estáticos ou restringir o acesso aos locais vulneráveis do FileSystemResource u