1.漏洞概述

2024 年 3 月 15 日，安全运营中心监测到 Spring Web UriComponentsBuilder URL 解析不当漏洞，漏洞编号：CVE-2024-22259，漏洞威胁等级：高危。

2.漏洞详情

Spring Framework 是一个开源的 Java 应用程序框架，UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。

由于对 CVE-2024-22243 的修复不充分，攻击者可构造一下两类 url 绕过主机名验证，导致开放重定向或 SSRF 漏洞：

1、包含以 http 开头的 scheme 但不包含 host；

2、url 中的 host 以 `[` 开头但不以 `]` 结尾。

3.影响版本

6.1.0<=org.springframework:spring-web<6.1.5

6.0.0<=org.springframework:spring-web<6.0.18

org.springframework:spring-web<5.3.33

4.处置建议

将 org.springframework:spring-web 升级至 6.1.5 及以上版本，将 org.springframework:spring-web 升级至 6.0.18 及以上版本，将 org.springframework:spring-web 升级至 5.3.33 及以上版本。

https://github.com/spring-projects/spring-framework/commit/1d2b55e670bcdaa19086f6af9a5cec31dd0390f0

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651