当前位置：首页 > news >正文

spring boot 修复 Spring Framework URL解析不当漏洞（CVE-2024-22243）

news 2025/11/9 14:27:40

漏洞描述

当应用程序使用UriComponentsBuilder来解析外部提供的URL（如通过查询参数）并对解析的URL的主机执行验证检查时可能容易受到Open重定向攻击和SSRF攻击，导致网络钓鱼和内部网络探测等。

受影响产品或系统

6.1.0 <= Spring Framework <= 6.1.3

6.0.0 <= Spring Framework <= 6.0.16

5.3.0 <= Spring Framework <= 5.3.31

官方建议修复方案

Spring Framework 版本6.1.x 用户：升级到 6.1.3

Spring Framework 版本6.0.x 用户：升级到 6.0.16

Spring Framework 版本5.3.x 用户：升级到 5.3.31

其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响，更新到受官方支持的安全版本。

那么springboot项目我们该怎么修复该漏洞呢？

查看 springboot的版本，只有最新的3.1.9和3.2.3 修复了该漏洞。

如果现有项目的大版本是3.x，直接升级即可，但是有些老项目还停留在2.x的版本，官方并没有针对2.x发布新版本，从2.x直接升级到3.x，代价又比较大。

一开始我们尝试直接替换spring-web的版本，但是只替换这一个包的话项目启动会报错，通过实践和反复尝试，我们对spring相关的jar包都进行了覆盖，这样可以保持springboot的版本号不变。具体覆盖的jar包如下：

         <!-- spring-web 相关 begin --><dependency><groupId>org.springframework</groupId><artifactId>spring-web</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-webmvc</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-aop</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-beans</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-context</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-context-support</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-core</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-expression</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-jcl</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-jdbc</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-oxm</artifactId><version>5.3.32</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-tx</artifactId><version>5.3.32</version></dependency><!-- spring-web相关 end -->

只需要将上述依赖添加到pom.xml文件中即可覆盖springboot默认的版本，替换后效果如下：

项目启动正常

如果启动后访问接口报错，需要更换跨域配置，将corsConfiguration.addAllowedOrigin("*")替换为corsConfiguration.addAllowedOriginPattern("*");

好了，上面的操作都完成后，漏洞就修复了，接下来有需要的话可以慢慢的升级到大版本！

spring boot 修复 Spring Framework URL解析不当漏洞（CVE-2024-22243）

相关文章：

spring boot 修复 Spring Framework URL解析不当漏洞（CVE-2024-22243）

VR全景HDR拍摄教程

hive执行select count(1)返回0

3D Gaussian splatting 协方差矩阵球谐函数简单理解

代码随想录算法刷题训练营day27：LeetCode(39)组合总和、LeetCode(40)组合总和 II、LeetCode(131)分割回文串

docker 容器修改端口和目录映射

echarts鼠标事件

【北京迅为】《iTOP-3588开发板网络环境配置手册》第2章电脑、开发板直连交换机或路由器

6.5 共享数据

SpringBoot之Session新增、删除、获取配置与使用

Hive UDF 札记

npm已经配置淘宝源仍然无法使用

Qt5转Qt6笔记

FPGA高端项目：FPGA基于GS2971的SDI视频接收转HDMI输出，提供3套工程源码和技术支持

java 锁

该类型的 CollectionView 不支持从调度程序线程以外的线程对其 SourceCollection 进行的更改。

Mybatis学习笔记：延迟加载

蓝桥杯题练习：平地起高楼

我愿意启动价值流

排序算法1：冒泡排序、快速排序、插入排序

AI Agent与Agentic AI：原理、应用、挑战与未来展望

DeepSeek 技术赋能无人农场协同作业：用 AI 重构农田管理 “神经网”

Reasoning over Uncertain Text by Generative Large Language Models

视觉slam十四讲实践部分记录——ch2、ch3

GruntJS-前端自动化任务运行器从入门到实战

现有的 Redis 分布式锁库（如 Redisson）提供了哪些便利？

【Post-process】【VBA】ETABS VBA FrameObj.GetNameList and write to EXCEL

在golang中如何将已安装的依赖降级处理，比如：将 go-ansible/v2@v2.2.0 更换为 go-ansible/@v1.1.7

二维FDTD算法仿真

Python爬虫实战：研究Restkit库相关技术