1.3 KiB
sprig-mvc-demo-patch
This demo application partially covers the vulnerability CVE-2024-38828
Уязвимость CVE-2024-38828 в Spring Framework позволяет провести атаку типа "Отказ в обслуживании" (DoS), отправляя большой или специально сформированный запрос к контроллеру Spring MVC, который принимает параметр типа byte[]. Это может вызвать перегрузку памяти, процессора и сбой приложения из-за нехватки ресурсов. В моем демо приложении я использую кастомный конвертор для покрытия уязвимости связанной с загрузкой файлов большого размера. Для полного покрытия уязвимости необходимо устанавливатьв сервелете таймауты - для защиты от медленных атак и оптимизировать обработку multipart/form-data и raw body-запросов, чтобы не было избыточного выделения памяти.
Уязвимость CVE-2024-38828 устранена в версиях Spring выше 5.3.33.