Spring Framework 漏洞列表

A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年10月，Spring官方发布公告披露 CVE-2024-38819 Spring Framework 特定条件下目录遍历漏洞。该漏洞类似CVE-2024-38816，当Spring通过WebMvc.fn或者WebFlux.fn对外提供静态文件时，攻击者可构造恶意请求遍历读取系统上的文件。 影响范围 Spring Framework 5.3.0 - 5.3.40 Spring Framework 6.0.0 - 6.0.24 Spring Framework 6.1.0 - 6.1.13 其他更老或者官方已不支持的版本

Spring Framework 输入验证不当漏洞

Spring Framework 路径遍历漏洞

Spring Framework 路径遍历漏洞

Pivotal Spring Framework存在目录遍历漏洞，该漏洞是由于resources接口对用户的请求验证不当导致的。

Spring Framework中存在远程代码执行漏洞。该漏洞是由于spring-messaging模块对STOMP broker的输入验证不当导致的。

Spring Framework中存在远程代码执行漏洞。该漏洞是由于spring-messaging模块对STOMP broker的输入验证不当导致的。

Spring Framework URL Host解析错误漏洞

Spring Framework URL Host解析错误漏洞

Pivotal Spring Framework 是美国 Pivotal Software 公司的一套开源的Java、Java EE 应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Spring Framework 存在目录遍历漏洞，攻击者可以利用这个漏洞获取到任何在文件系统上对 Spring web 应用程序进程可访问的文件。这可能会导致敏感信息的泄露，从而对系统的安全性造成威胁。

2022年3月31日，Spring官方发布安全公告，披露CVE-2022-22965 Spring Framework 远程代码执行漏洞。由于Spring框架存在处理流程缺陷，攻击者可在远程条件下，实现对目标主机的后门文件写入和配置修改，继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用，且同时使用JDK版本在9及以上版本的，易受此漏洞攻击影响。