10月17日Spring开发团队发布资安公告，指出Spring Framework存在路径穿越漏洞CVE-2024-38819，该漏洞影响6.1.13、6.0.24、5.3.40及以下版本，他们推出6.1.14、6.0.25、5.3.41版进行修补。

针对这项漏洞出现的原因，该公司表示，应用程序借由网页框架WebMvc.fn或WebFlux.fn提供静态资源的过程中，容易受到路径穿越攻击，攻击者只要发送恶意HTTP请求，就有机会借由正在运作的Spring应用程序处理进程，取得文件系统的任意文件。

他们补充说明，这项漏洞相当类似于一个月前修补的CVE-2024-38816（CVSS风险为7.5分）。但究竟CVE-2024-38819有多严重？他们并未提供风险评分信息。