网站流量能打开wifi打不开,用软件做网站,网站建设和维护,一键提交收录漏洞描述
当应用程序使用UriComponentsBuilder来解析外部提供的URL#xff08;如通过查询参数#xff09;并对解析的URL的主机执行验证检查时可能容易受到Open重定向攻击和SSRF攻击#xff0c;导致网络钓鱼和内部网络探测等。
受影响产品或系统
6.1.0 Spring Framew…漏洞描述
当应用程序使用UriComponentsBuilder来解析外部提供的URL如通过查询参数并对解析的URL的主机执行验证检查时可能容易受到Open重定向攻击和SSRF攻击导致网络钓鱼和内部网络探测等。
受影响产品或系统
6.1.0 Spring Framework 6.1.3
6.0.0 Spring Framework 6.0.16
5.3.0 Spring Framework 5.3.31
官方建议修复方案
Spring Framework 版本6.1.x 用户升级到 6.1.3
Spring Framework 版本6.0.x 用户升级到 6.0.16
Spring Framework 版本5.3.x 用户升级到 5.3.31
其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响更新到受官方支持的安全版本。
那么springboot项目我们该怎么修复该漏洞呢
查看 springboot的版本只有最新的3.1.9和3.2.3 修复了该漏洞。
如果现有项目的大版本是3.x直接升级即可但是有些老项目还停留在2.x的版本官方并没有针对2.x发布新版本从2.x直接升级到3.x代价又比较大。
一开始我们尝试直接替换spring-web的版本但是只替换这一个包的话项目启动会报错通过实践和反复尝试我们对spring相关的jar包都进行了覆盖这样可以保持springboot的版本号不变。具体覆盖的jar包如下 !-- spring-web 相关 begin --dependencygroupIdorg.springframework/groupIdartifactIdspring-web/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-webmvc/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-aop/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-beans/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-context/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-context-support/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-core/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-expression/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-jcl/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-jdbc/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-oxm/artifactIdversion5.3.32/version/dependencydependencygroupIdorg.springframework/groupIdartifactIdspring-tx/artifactIdversion5.3.32/version/dependency!-- spring-web相关 end --
只需要将上述依赖添加到pom.xml文件中即可覆盖springboot默认的版本替换后效果如下 项目启动正常 如果启动后访问接口报错需要更换跨域配置将corsConfiguration.addAllowedOrigin(*)替换为corsConfiguration.addAllowedOriginPattern(*); 好了上面的操作都完成后漏洞就修复了接下来有需要的话可以慢慢的升级到大版本
