First-Roman/sprig-mvc-demo-patch
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Update README.md

Browse Source
This commit is contained in:
First-Roman
2025-04-15 01:58:27 +03:00
committed by GitHub
parent d1fc83d23c
commit ba879728ea
1 changed files with 6 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
README.md
View File

@@ -1,2 +1,8 @@
# sprig-mvc-demo-patch
This demo application partially covers the vulnerability CVE-2024-38828
Уязвимость CVE-2024-38828 в Spring Framework позволяет провести атаку типа "Отказ в обслуживании" (DoS), отправляя большой или специально сформированный запрос к контроллеру Spring MVC, который принимает параметр типа byte[]. Это может вызвать перегрузку памяти, процессора и сбой приложения из-за нехватки ресурсов.
В моем демо приложении я использую кастомный конвертор для покрытия уязвимости связанной с загрузкой файлов большого размера.
Для полного покрытия уязвимости необходимо устанавливатьв сервелете таймауты - для защиты от медленных атак и оптимизировать обработку multipart/form-data и raw body-запросов, чтобы не было избыточного выделения памяти.
Уязвимость CVE-2024-38828 устранена в версиях Spring выше 5.3.33.