1. 漏洞概述

2024 年 2 月 26 日，赛尔网络安全运营中心监测到 Spring Framework URL Host 解析错误漏洞，漏洞编号：CVE-2024-22243，漏洞威胁等级：高危，所属厂商：VMware。

2. 漏洞详情

Spring Framework 是美国威睿（VMware ）公司的一套为基于 Spring 的应用程序提供的 MVC 开发框架。

如果应用程序使用 UriComponentsBuilder 解析外部提供的 URL（如通过查询参数）并对解析的 URL 的主机执行验证检查，通过验证检查后使用 URL，可能会受到开放重定向攻击或 SSRF 攻击。

3. 影响版本

6.1.0<=Spring Framework<=6.1.3

6.0.0<=Spring Framework<=6.0.16

5.3.0<=Spring Framework<=5.3.31

Spring Framework>=5.2.0

Spring Framework>=5.1.0

4. 处置建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

Spring Framework 版本 6.1.x 用户：升级到 6.1.3

Spring Framework 版本 6.0.x 用户：升级到 6.0.16

Spring Framework 版本 5.3.x 用户：升级到 5.3.31

同时其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响，建议立即更新到受官方支持的安全版本。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651