Alerta 2024-56 Vulnerabilidad Crítica en Spring Framework
Se ha identificado una nueva vulnerabilidad crítica de path traversal Spring Framework, identificada como CVE-2024-38819. Esta vulnerabilidad afecta varias versiones de este framework, el cual es utilizado comúnmente en aplicaciones web basadas en Java. Esta vulnerabilidad permite a un atacante manipular las rutas de archivos dentro de una aplicación web para acceder a archivos fuera del directorio permitido. En este caso, la vulnerabilidad afecta a las aplicaciones que utilizan los marcos funcionales WebMvc.fn o WebFlux.fn para servir recursos estáticos.
La explotación ocurre cuando un atacante envía solicitudes HTTP maliciosas que manipulan las rutas de los archivos estáticos solicitados. Si no se manejan adecuadamente las rutas de los archivos en la aplicación, el atacante puede navegar hacia directorios críticos del sistema y acceder a archivos que están accesibles para el proceso que ejecuta la aplicación Spring.
Con más de 2000 aplicaciones utilizando Spring Framework en México, la presencia de esta plataforma en entornos de desarrollo web es significativa, por ello la urgencia de corregir esta vulnerabilidad y evitar consecuencias graves para la confidencialidad e integridad de los datos alojados en servidores locales.
Puedes encontrar más información y detalles sobre los parches de seguridad vista el siguiente enlace https://spring.io/blog/2024/10/17/spring-framework-cve-2024-38819-and-cve-2024-38820-published