Các nhà nghiên cứu vừa cảnh báo lỗ hổng trong Spring Framework có mã định danh (CVE-2024-22262), cho phép tấn công chuyển hướng (Redirect) và giả mạo yêu cầu phía máy chủ (SSRF).
Nguyên nhân tồn tại lỗ hổng này nằm ở cách UriComponentsBuilder của Spring Framework xử lý và xác thực các URL được cung cấp từ bên ngoài. Kẻ tấn công có thể lừa người dùng truy cập trang web độc hại để lừa đảo (phishing) hoặc tấn công hệ thống nội bộ.
Các phiên bản bị ảnh hưởng:
- 6.1.0 – 6.1.5
- 6.0.0 – 6.0.18
- 5.3.0 – 5.3.33
- Các phiên bản cũ hơn
Đáng chú ý, lỗ hổng CVE-2024-22262 được cho là có những điểm tương đồng với hai lỗ hổng nghiêm trọng trước đây trong Spring Framework là CVE-2024-22259 và CVE-2024-22243. Tuy nhiên, các chuyên gia an ninh mạng nhấn mạnh CVE-2024-22262 liên quan đến một phương thức tấn công khác.
Để tránh rủi ro xảy ra, người dùng cần cập nhật Spring Framework lên phiên bản mới nhất càng sớm càng tốt.
Theo Security Online
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment