Spring Framework geliştiricileri bir kez daha URL işlemede bir hata buldu ve düzeltti. Sınıfta UriComponentsBuilder Belirli özel karakterler oluştuğunda URL'yi hatalı şekilde bileşenlerine bölen hatalı bir işleme mantığı mevcut. Bu, saldırganların güvenlik açığı bulunan uygulamanın istenmeyen web adreslerini ziyaret etmesine veya “açık yönlendirme” güvenlik açığı oluşturmasına neden olabileceği anlamına gelir.
Duyuru
Kısa danışma metnine göre hatanın CVE ID'si CVE-2024-22259 ve CVSS puanı 8,1/10'dur (Risk “yüksek“) yalnızca birkaç hafta önce yayımlanan CVE-2024-22243'ün bir çeşididir.
Görünüşe göre bu hata, saldırganın şunu yazmasıyla kaynaklanabilir: “[” kullanıcı ve ana bilgisayar parçaları arasında. Bir form URL'si http://gut.de[@boese.de kullanıcı adı kısmında yer almıyor”gut.de[“ve etki alanı kısmı”boese.de“Ayrıldılar ama görünüşe göre Bahar Çerçevesini yanlış yorumladılar”gut.de” Etki alanı olarak. Bu hata, örneğin bir etki alanının belirli karakter dizeleri içermesi ve bu nedenle engellenenler listesinde olması durumunda kontrolün başarısız olmasına neden olabilir. Şu anda bildirilen güvenlik açığı muhtemelen benzer bir hileye dayanmaktadır.
Üç sürüm ağacı güncellemesi
Spring ekibi, geliştiricilerin güncellemeleri hızlı bir şekilde yüklemelerini öneriyor:
(cku)
Haberin Sonu
Duyuru
Kısa danışma metnine göre hatanın CVE ID'si CVE-2024-22259 ve CVSS puanı 8,1/10'dur (Risk “yüksek“) yalnızca birkaç hafta önce yayımlanan CVE-2024-22243'ün bir çeşididir.
Görünüşe göre bu hata, saldırganın şunu yazmasıyla kaynaklanabilir: “[” kullanıcı ve ana bilgisayar parçaları arasında. Bir form URL'si http://gut.de[@boese.de kullanıcı adı kısmında yer almıyor”gut.de[“ve etki alanı kısmı”boese.de“Ayrıldılar ama görünüşe göre Bahar Çerçevesini yanlış yorumladılar”gut.de” Etki alanı olarak. Bu hata, örneğin bir etki alanının belirli karakter dizeleri içermesi ve bu nedenle engellenenler listesinde olması durumunda kontrolün başarısız olmasına neden olabilir. Şu anda bildirilen güvenlik açığı muhtemelen benzer bir hileye dayanmaktadır.
Üç sürüm ağacı güncellemesi
Spring ekibi, geliştiricilerin güncellemeleri hızlı bir şekilde yüklemelerini öneriyor:
- 6.1.0'dan 6.1.3'e kadar olan sürümler hatayı içeriyordu; 6.1.4 sürümünde düzeltildi,
- 6.0.0 ila 6.0.16 sürümlerinde de hatalar vardı: 6.0.17 sürümü yamayı içeriyor ve
- Hala 5.3.0 ile 5.3.31 arasındaki sürümleri kullanıyorsanız, 5.3.32 sürümüne yükseltme yapmalısınız.
(cku)
Haberin Sonu