一、 漏洞 CVE-2024-38821 基础信息
漏洞信息
# WebFlux应用程序中静态资源的授权绕过漏洞
## 漏洞概述
在某些情况下,Spring WebFlux 应用程序的 Spring Security 对静态资源的授权规则可以被绕过。
## 影响版本
未具体提及版本号,但影响的是使用特定配置的 Spring WebFlux 应用程序。
## 漏洞细节
此漏洞影响的应用程序必须满足以下所有条件:
- 必须是 WebFlux 应用程序。
- 必须使用 Spring 的静态资源支持。
- 必须对静态资源支持应用了非 `permitAll` 的授权规则。
## 漏洞影响
该漏洞可能导致未经授权的用户访问受保护的静态资源,从而导致敏感信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authorization Bypass of Static Resources in WebFlux Applications
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances.
For this to impact an application, all of the following must be true:
* It must be a WebFlux application
* It must be using Spring's static resources support
* It must have a non-permitAll authorization rule applied to the static resources support
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Spring WebFlux 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Spring WebFlux是Spring公司的一个响应式堆栈 Web 框架。 Spring WebFlux存在安全漏洞,该漏洞源于在特定情况下可以绕过Spring Security对静态资源的授权规则。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-38821 的公开POC
三、漏洞 CVE-2024-38821 的情报信息
四、漏洞 CVE-2024-38821 的评论
暂无评论