今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Spring Security @AuthorizeReturnObject 权限绕过漏洞(CVE-2024-38810)。该漏洞发生在应用程序使用@AuthorizeReturnObject 或 AuthorizationAdvisorProxyFactory @Bean 来包装对象时,关键的安全注解(例如@PreFilter、@PostFilter、@PreAuthorize 和@PostAuthorize)可能无法对这些包装对象实施预期的安全限制。
目前厂商官方已发布修复版本。亚信安全CERT建议客户升级Spring Security至最新版本6.3.2。
受影响版本中,当应用满足以下条件时,@PreFilter、@PostFilter、@PreAuthorize 或 @PostAuthorize 注解会失效,导致安全校验绕过:
-
使用 AnnotationAwareAspectJAutoProxyCreator 创建代理;
-
程序上下文中至少有一个 FactoryBean;
-
使用 @EnableMethodSecurity 启用方法级安全性控制;
-
使用 @AuthorizeReturnObject 注解或由 Spring Security 生成的AuthorizationAdvisorProxyFactory @Bean 对对象进行封装。
漏洞编号、类型、等级
-
CVE-2024-38810
-
权限绕过漏洞
-
高危
漏洞状态
细节 |
PoC |
EXP |
在野利用 |
复现情况 |
已公开 |
未公开 |
未公开 |
未发现 |
未复现 |
受影响版本
-
Spring Security 6.3.0
-
Spring Security 6.3.1
修复建议
目前,官方已有相关公告信息修复该漏洞,建议受影响的Spring Security尽快升级至最新版本。
https://github.com/spring-projects/spring-security/releases/tag/6.3.2
参考链接
-
https://github.com/spring-projects/spring-security/releases/tag/6.3.2
-
https://spring.io/security/cve-2024-38810/
-
https://nvd.nist.gov/vuln/detail/CVE-2024-38810
-
https://github.com/advisories/GHSA-hmqf-wpq9-jq83
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
了解亚信安全,请点击“阅读原文”
原文始发于微信公众号(亚信安全):Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论