-
09/04/2020
-
85
-
554 bài viết
Lỗ hổng nghiêm trọng trong Spring Framework cho phép đánh cắp thông tin người dùng
Các nhà nghiên cứu vừa cảnh báo lỗ hổng trong Spring Framework có mã định danh (CVE-2024-22262), cho phép tấn công chuyển hướng (Redirect) và giả mạo yêu cầu phía máy chủ (SSRF).
Nguyên nhân tồn tại lỗ hổng này nằm ở cách UriComponentsBuilder của Spring Framework xử lý và xác thực các URL được cung cấp từ bên ngoài. Kẻ tấn công có thể lừa người dùng truy cập trang web độc hại để lừa đảo (phishing) hoặc tấn công hệ thống nội bộ.
Các phiên bản bị ảnh hưởng:
Để tránh rủi ro xảy ra, người dùng cần cập nhật Spring Framework lên phiên bản mới nhất càng sớm càng tốt.
Nguyên nhân tồn tại lỗ hổng này nằm ở cách UriComponentsBuilder của Spring Framework xử lý và xác thực các URL được cung cấp từ bên ngoài. Kẻ tấn công có thể lừa người dùng truy cập trang web độc hại để lừa đảo (phishing) hoặc tấn công hệ thống nội bộ.
Các phiên bản bị ảnh hưởng:
- 6.1.0 - 6.1.5
- 6.0.0 - 6.0.18
- 5.3.0 - 5.3.33
- Các phiên bản cũ hơn
Để tránh rủi ro xảy ra, người dùng cần cập nhật Spring Framework lên phiên bản mới nhất càng sớm càng tốt.
Theo Security Online