安全通告

关于 Spring Web UriComponentsBuilder 存在URL解析不当漏洞预警通告

发布日期：2024-3-18

[2024]005号

漏洞描述

2024年3月18日公司监测到Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22259)。SpringFramework是一个开源的Java应用程序框架,UriComponentsBuilder是SpringWeb中用于构建和操作URI的工具类。由于 UriComponentsBuilder 处理URL时未正确过滤用户信息中的方括号，导致攻击者可构造包含方括号的恶意 URL 绕过相关验证，导致开放重定向或SSRF漏洞。

漏洞编号

CVE-2024-22259

漏洞危害

攻击者可构造包含方括号的恶意 URL 绕过相关验证，导致开放重定向或SSRF漏洞。

漏洞等级

高危
受影响版本

org.springframework:spring-web[6.1.0, 6.1.5)

org.springframework:spring-web[6.0.0, 6.0.18)

org.springframework:spring-web(-∞, 5.3.33)

修复方案

目前官方已经发布了解决此漏洞的相关补丁，建议受影响用户升级至安全版本。

参考链接

https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ