一、漏洞概述
近日,绿盟科技CERT监测到Spring官方发布安全公告,披露了Spring Security中存在的一个身份认证绕过漏洞。在WebFlux的Spring Security配置中使用”**”作为模式,会导致Spring Security 和Spring WebFlux之间模式不匹配,并可能造成身份认证绕过。CVSS评分9.1。请相关用户尽快采取措施进行防护。
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能。
漏洞状态:
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 未公开 | 未公开 | 未公开 | 未发现 |
参考链接:
https://spring.io/security/cve-2023-34034
二、影响范围
受影响版本
6.1.0 <= Spring Security <= 6.1.1
6.0.0 <= Spring Security <= 6.0.4
5.8.0 <= Spring Security <= 5.8.4
5.7.0 <= Spring Security <= 5.7.9
5.6.0 <= Spring Security <= 5.6.11
不受影响版本
Spring Security >= 6.1.2
Spring Security >= 6.0.5
Spring Security >= 5.8.5
Spring Security >= 5.7.10
Spring Security >= 5.6.12
注意:以上对Spring Framework版本要求为
Spring Framework >= 6.0.11
Spring Framework >= 5.3.29
Spring Framework >= 5.2.25
三、漏洞防护
3.1 官方升级
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
https://github.com/spring-projects/spring-security/releases
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。