1.漏洞概述

2024 年 2 月 23 日，安全运营中心监测到 Spring Web UriComponentsBuilder  URL 解析不当漏洞，漏洞编号：CVE-2024-22243，漏洞威胁等级：高危。

2.漏洞详情

Spring Framework 是一个开源的 Java 应用程序框架，UriComponentsBuilder是 Spring Web 中用于构建和操作 URI 的工具类。

受影响版本中，由于 UriComponentsBuilder 处理 URL 时未正确过滤用户信息中的方括号 `[` ，攻击者可构造包含方括号的恶意 URL 绕过主机名验证。如果应用程序依赖 UriComponentsBuilder.fromUriString()等方法对 URL 进行解析和校验，则可能导致验证绕过，出现开放重定向或 SSRF 漏洞。

3.影响版本

6.1.0<=springframework<6.1.4

6.0.0<=springframework<6.0.17

springframework<5.3.32

4.处置建议

1.将 org.springframework:spring-web 升级至 6.0.17 及以上版本，将 org.springframework:spring-web 升级至 5.3.32 及以上版本，将 org.springfram

ework:spring-web 升级至 6.1.4 及以上版本。

https://spring.io/security/cve-2024-22243/

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651