0x00 漏洞编号

• CVE-2023-34042

0x01 危险等级

• 中危
  

0x02 漏洞概述

Spring Security是一个强大而高度可定制的认证和访问控制框架，它是保护基于Spring的应用程序的事实标准，专注于为Java应用程序提供认证和授权功能。

0x03 漏洞详情

CVE-2023-34042

漏洞类型：权限控制不当

影响：恶意数据写入

简述：spring-security-config jar中的spring-security.xsd文件是全局可写的，这意味着如果提取该文件，任何有权访问该文件系统的人都可以写入该文件。

0x04 影响版本

• 6.1.1 <= Spring Security <= 6.1.3

• 6.0.4 <= Spring Security <= 6.0.6

• 5.8.4 <= Spring Security <= 5.8.6

• 5.7.9 <= Spring Security <= 5.7.10

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://spring.io/

原文始发于微信公众号（浅安安全）：漏洞预警 | Spring Security权限控制不当漏洞