漏洞背景
近日,嘉诚安全监测到Spring发布安全公告,修复了Spring Security 中的一个访问控制错误漏洞,漏洞编号为:CVE-2024-22234。
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。在受影响的版本中,当应用程序直接使用AuthenticationTrustResolver.isFullyAuthenticated(Authentication)方法时,可向其传递一个null身份验证参数,导致错误的true返回值,可利用该漏洞破坏访问控制,可能导致身份验证和授权绕过、未授权访问、信息泄露等。
危害影响
影响版本:
6.1.0<=Spring Security<6.1.7
6.2.0<=Spring Security<6.2.2
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本:
Spring Security 6.1.x:升级到 6.1.7
Spring Security 6.2.x:升级到 6.2.2
下载链接:
https://spring.io/projects/spring-security
参考链接:
https://spring.io/security/cve-2024-22234
https://nvd.nist.gov/vuln/detail/CVE-2024-22234
原文始发于微信公众号(嘉诚安全):【漏洞通告】Spring Security 访问控制错误漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论