2024年2月23日,网上公开披露了一个Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243),Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于 UriComponentsBuilder 处理URL时未正确过滤用户信息中的方括号 `[` ,攻击者可构造包含方括号的恶意URL绕过主机名验证。如果应用程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验,则可能导致验证绕过,出现开放重定向或SSRF漏洞。
风险等级:高风险。
影响范围:
org.springframework:spring-web@[6.1.0, 6.1.4)
org.springframework:spring-web@[6.0.0, 6.0.17)
org.springframework:spring-web@(-∞, 5.3.32)
修复建议:
将 org.springframework:spring-web 升级至 5.3.32 及以上版本
将 org.springframework:spring-web 升级至 6.1.4 及以上版本
将 org.springframework:spring-web 升级至 6.0.17 及以上版本
