Spring Framework, nền tảng của nhiều ứng dụng dựa trên ngôn ngữ Java vừa xử lý một lỗ hổng nghiêm trọng là CVE-2024-22259, chưa có điểm CVSS.
Lỗ hổng này có thể ảnh hưởng đến các ứng dụng dùng chức năng UriComponentsBuilder của Spring Framework để xử lý URL từ các nguồn bên ngoài, ví dụ như dữ liệu đầu vào của người dùng. Chúng có thể dễ bị tấn công bởi các kỹ thuật:
- Open Redirect: Đây là kiểu tấn công cho phép kẻ xấu điều hướng người dùng thiếu cảnh giác đối với các website nguy hiểm. Cụ thể, kẻ tấn công có thể tạo một URL mà sau khi vượt qua quá trình xác thực, máy chủ sẽ chuyển hướng người dùng đến một trang web giả mạo để lừa đảo.
- Server-Side Request Forgery (SSRF): Đây là kiểu tấn công yêu cầu giả mạo từ phía máy chủ cho phép kẻ tấn công thay đổi tham số được sử dụng trên ứng dụng web từ đó thực hiện các truy vấn trái phép tới hệ thống nội bộ hoặc mạng bên ngoài, dẫn đến rò rỉ dữ liệu nhạy cảm.
Các phiên bản Spring Framework bị ảnh hưởng gồm:
- Spring Framework 6.1.0 đến 6.1.4
- Spring Framework 6.0.0 đến 6.0.17
- Spring Framework 5.3.0 đến 5.3.32
- Các phiên bản cũ hơn, không được hỗ trợ cũng bị ảnh hưởng
Người dùng được khuyến cáo nên cập nhật Spring Framework lên các phiên bản sau:
- Người dùng phiên bản 6.1.x lên 6.1.5
- Người dùng phiên bản 6.0.x lên 6.0.18
- Người dùng phiên bản 5.3.x lên 5.3.33