Spring Framework 5.3.x 的 5.3.40 之前版本、6.0.x 的 6.0.24 之前版本和 6.1.x 的 6.1.13 之前版本容易遭受路径遍历攻击。攻击者可以构建恶意 HTTP 请求，并获取文件系统中也可由运行 Spring 应用程序的进程访问的任何文件。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-98484 公告中提及的一个漏洞影响。

  - 通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以构建恶意 HTTP 请求，并获取文件系统中也可由运行 Spring 应用程序的进程访问的任何文件。
    具体来说，当以下两个条件都成立时，应用程序就容易受到攻击：* Web 应用程序使用 RouterFunctions 来提供静态资源 * 资源处理明确配置了 FileSystemResource 位置 但是，当以下任何一项成立时，恶意请求就会被阻止和拒绝： * 正在使用 Spring Security HTTP 防火墙 https://docs.spring.io/spring-security/reference/servlet/exploits/firewall.html* 应用程序在 Tomcat 或 Jetty 上运行 (CVE-2024-38816)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以构建恶意 HTTP 请求，并获取文件系统中也可由运行 Spring 应用程序的进程访问的任何文件。
    具体来说，当以下两个条件都成立时，应用程序就容易受到攻击：* Web 应用程序使用 RouterFunctions 来提供静态资源 * 资源处理明确配置了 FileSystemResource 位置 但是，当以下任何一项成立时，恶意请求就会被阻止和拒绝： * 正在使用 Spring Security HTTP 防火墙 https://docs.spring.io/spring-security/reference/servlet/exploits/firewall.html* 应用程序在 Tomcat 或 Jetty 上运行 (CVE-2024-38816)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上的 Spring Framework 版本受到路径遍历漏洞的影响。 

通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以构建恶意 HTTP 请求，并获取文件系统中也可由运行 Spring 应用程序的进程访问的任何文件。

具体而言，当以下所有项均为 True 时，应用程序易受攻击：
  - Web 应用程序使用 RouterFunctions 提供静态资源
  - 资源处理显式配置有 FileSystemResource 位置

但是，当出现以下任一情况时，恶意请求会被阻断和拒绝：
  - 正在使用 Spring Security HTTP Firewall
  - 应用程序在 Tomcat 或 Jetty 上运行

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Identity Manager 12.2.1.4.0 版本受到 2025 年 1 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle Identity Manager 产品中存在的漏洞（组件：Installer (Spring Framework)）。支持的版本中受影响的是 12.2.1.4.0。未经身份验证且可通过 HTTP 访问网络的攻击者可通过易于利用的漏洞破坏 Oracle Identity Manager。成功攻击此漏洞可导致在未经授权的情况下访问重要数据，或完整访问 Oracle Identity Manager 的所有可访问数据。(CVE-2024-38819)     
  - 通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以构建恶意 HTTP 请求，并获取文件系统中也可由运行 Spring 应用程序的进程访问的任何文件。
    具体来说，当以下两个条件都成立时，应用程序就容易受到攻击：* Web 应用程序使用 RouterFunctions 来提供静态资源 * 资源处理明确配置了 FileSystemResource 位置 但是，当以下任何一项成立时，恶意请求就会被阻止和拒绝： * 正在使用 Spring Security HTTP 防火墙 https://docs.spring.io/spring-security/reference/servlet/exploits/firewall.html* 应用程序在 Tomcat 或 Jetty 上运行 (CVE-2024-38816)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114574	Spring Framework 5.3.x < 5.3.40 / 6.0.x < 6.0.24 / 6.1.x < 6.1.13 路径遍历	Web App Scanning	Component Vulnerability	2025/1/28	2025/1/28	high
215061	Atlassian Confluence 3.x < 7.19.29 / 8.0.x < 8.5.17 / 8.6.x < 8.9.8 / 9.0.1 < 9.1.1 (CONFSERVER-98484)	Nessus	CGI abuses	2025/2/6	2025/2/6	high
228697	Linux Distros 未修补的漏洞: CVE-2024-38816	Nessus	Misc.	2025/3/5	2025/3/5	high
207387	Spring Framework < 5.3.40 / 6.0.x < 6.0.24 / 6.1.x < 6.1.13 路径遍历 (CVE-2024-38816)	Nessus	Misc.	2024/9/18	2024/10/25	high
214531	Oracle Identity Manager（2025 年 1 月 CPU）	Nessus	Misc.	2025/1/23	2025/1/24	high

检测

插件搜索

high

high

high

high

high