## https://sploitus.com/exploit?id=9284D854-F85F-51D9-9519-030374783E14
# sprig-mvc-demo-patch
This demo application partially covers the vulnerability CVE-2024-38828
Уязвимость CVE-2024-38828 в Spring Framework позволяет провести атаку типа "Отказ в обслуживании" (DoS), отправляя большой или специально сформированный запрос к контроллеру Spring MVC, который принимает параметр типа byte[]. Это может вызвать перегрузку памяти, процессора и сбой приложения из-за нехватки ресурсов.
В моем демо приложении я использую кастомный конвертор для покрытия уязвимости связанной с загрузкой файлов большого размера.
Для полного покрытия уязвимости необходимо устанавливатьв сервелете таймауты - для защиты от медленных атак и оптимизировать обработку multipart/form-data и raw body-запросов, чтобы не было избыточного выделения памяти.
Уязвимость CVE-2024-38828 устранена в версиях Spring выше 5.3.33.