CVE-2024-38816

Aperçu

Spring Framework est un cadre Java complet destiné à la création d'applications d'entreprise. Il fournit un modèle de programmation puissant et flexible qui simplifie le développement d'applications web en vous permettant d'utiliser Java comme langage principal tout en offrant une variété d'outils pour gérer la configuration de l'application, l'accès aux données et la sécurité.

Une vulnérabilité de traversée de chemin(CVE-2024-38816) a été identifiée dans Spring. Cette vulnérabilité permet à des attaquants d'exploiter la mauvaise gestion des chemins de fichiers par l'application pour accéder à des fichiers sensibles sur le serveur, ce qui présente un risque d'exposition des données et de compromission potentielle du système.

Selon l'OWASP: Une attaque par traversée de chemin (également connue sous le nom de "dot-dot-slash", "directory traversal", "directory climbing", et "backtracking") vise à accéder à des fichiers et des répertoires qui sont stockés en dehors du dossier racine du site web. En manipulant des variables qui font référence à des fichiers avec des séquences "dot-dot-slash (../)" et ses variations ou en utilisant des chemins d'accès absolus, il peut être possible d'accéder à des fichiers et des répertoires arbitraires stockés sur le système de fichiers, y compris le code source d'une application ou des fichiers de configuration et des fichiers système critiques. Il convient de noter que l'accès aux fichiers est limité par le contrôle d'accès opérationnel du système (comme dans le cas de fichiers verrouillés ou en cours d'utilisation sur le système d'exploitation Microsoft Windows).

This issue affects Spring Framework versions >=5.3.0, <=5.3.39, >=6.0.0, <=6.0.23, >=6.1.0, <=6.1.12

‍

Détails

Informations sur le module

• Produit : Spring Framework
• Paquets affectés : spring-webmvc, spring-webflux
• Affected versions: >= 6.1.0, < 6.1.13, >= 6.0.0, < 6.0.24, < 5.3.40
• Dépôt GitHub : https://github.com/spring-projects/spring-framework 
• Gestionnaire de paquets : Maven

Informations sur les vulnérabilités

Cette vulnérabilité de haute sévérité est présente dans les paquets spring-webmvc et spring-webflux du Spring Framework dans les versions supérieures ou égales à 5.3.0 et inférieures à 6.1.13. 

La vulnérabilité est due à une mauvaise gestion des chemins d'accès aux fichiers dans les applications servant des ressources statiques via les frameworks web fonctionnels WebMvc.fn ou WebFlux.fn. En créant des requêtes HTTP malveillantes, les attaquants peuvent exploiter cette faille pour contourner les restrictions et accéder aux fichiers du système de fichiers du serveur qui sont accessibles au processus dans lequel l'application Spring est exécutée. Cela peut conduire à un accès non autorisé à des données sensibles, ce qui présente un risque de violation de données et de compromission du système.

‍

Étapes de la reproduction

Notre équipe mettra à jour ces étapes dès qu'elle en saura plus.

‍

Atténuation

Spring Framework 5.3 n'est plus supporté par la communauté. La version supportée par la communauté ne recevra aucune mise à jour pour résoudre ce problème. Pour plus d'informations, voir ici.

Les utilisateurs des composants concernés doivent appliquer l'une des mesures d'atténuation suivantes :

• Mettre à jour les applications concernées vers les versions prises en charge de Spring Framework
• Les utilisateurs d'anciennes versions non prises en charge pourraient activer le pare-feu de Spring Security dans leur application, ou utiliser Tomcat ou Jetty comme serveur Web parce qu'ils rejettent ces requêtes malveillantes.
• Faites appel à un partenaire commercial comme HeroDevs pour l'assistance à la sécurité après la fin de vie.

‍

Crédit

• Gabor Legrady

‍

Références

• https://spring.io/security/cve-2024-38816 
• https://nvd.nist.gov/vuln/detail/CVE-2024-38816
• https://github.com/advisories/GHSA-cx7f-g6mp-7hqm 
• https://securityonline.info/cve-2024-38816-spring-framework-path-traversal-vulnerability-threatens-millions/