Приложения, обслуживающие статические ресурсы через функциональные веб-фреймворки WebMvc.fn или WebFlux.fn, уязвимы для атак обхода пути. Злоумышленник может создавать вредоносные HTTP-запросы и получать любой файл в файловой системе, который также доступен процессу, в котором работает приложение Spring. В частности, приложение уязвимо, когда верно следующее: * Веб-приложение использует RouterFunctions для обслуживания статических ресурсов * Обработка ресурсов явно настроена с использованием расположения FileSystemResource. Однако вредоносные запросы блокируются и отклоняются, когда верно любое из следующего: * Используется брандмауэр HTTP Spring Security https://docs.spring.io/spring-security/reference/servlet/exploits/firewall.html * Приложение работает на Tomcat или Jetty.