遠端主機上的 Spring Framework 版本受到路徑遊走弱點影響。 

透過函式型 Web 架構 WebMvc.fn 或 WebFlux.fn 提供靜態資源的應用程式容易遭受路徑遊走攻擊。攻擊者可特製惡意的 HTTP 要求，並取得檔案系統上執行 Spring 應用程式的處理程序也可存取的任何檔案。

具體而言，當下列所有條件成立時，應用程式容易遭受攻擊：
  - Web 應用程式使用 RouterFunctions 來提供靜態資源
  - 使用 FileSystemResource 位置明確設定資源處理

不過，下列任一情況成立時，惡意要求會遭到封鎖和拒絕：
  - Spring Security HTTP 防火牆正在使用中
  - 應用程式在 Tomcat 或 Jetty 上執行

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Spring Framework < 5.3.40 / 6.0.x < 6.0.24 / 6.1.x < 6.1.13 路徑遊走 (CVE-2024-38816)

high Nessus Plugin ID 207387

找不到依附元件