Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告

admin 2024年8月23日00:33:11评论52 views字数 1201阅读4分0秒阅读模式
Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告

今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Spring Security @AuthorizeReturnObject 权限绕过漏洞(CVE-2024-38810)。该漏洞发生在应用程序使用@AuthorizeReturnObject 或 AuthorizationAdvisorProxyFactory @Bean 来包装对象时,关键的安全注解(例如@PreFilter、@PostFilter、@PreAuthorize 和@PostAuthorize)可能无法对这些包装对象实施预期的安全限制。

目前厂商官方已发布修复版本。亚信安全CERT建议客户升级Spring Security至最新版本6.3.2。

受影响版本中,当应用满足以下条件时,@PreFilter、@PostFilter、@PreAuthorize 或 @PostAuthorize 注解会失效,导致安全校验绕过:

  • 使用 AnnotationAwareAspectJAutoProxyCreator 创建代理;

  • 程序上下文中至少有一个 FactoryBean;

  • 使用 @EnableMethodSecurity 启用方法级安全性控制;

  • 使用 @AuthorizeReturnObject 注解或由 Spring Security 生成的AuthorizationAdvisorProxyFactory @Bean 对对象进行封装。

漏洞编号、类型、等级

  • CVE-2024-38810

  • 权限绕过漏洞

  • 高危

漏洞状态

细节

PoC

EXP

在野利用

复现情况

已公开

未公开

未公开

未发现

未复现

受影响版本

  • Spring Security 6.3.0

  • Spring Security 6.3.1

修复建议

目前,官方已有相关公告信息修复该漏洞,建议受影响的Spring Security尽快升级至最新版本。

https://github.com/spring-projects/spring-security/releases/tag/6.3.2

参考链接

  • https://github.com/spring-projects/spring-security/releases/tag/6.3.2

  • https://spring.io/security/cve-2024-38810/

  • https://nvd.nist.gov/vuln/detail/CVE-2024-38810

  • https://github.com/advisories/GHSA-hmqf-wpq9-jq83

本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月23日00:33:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告http://cn-sec.com/archives/3088103.html

发表评论

匿名网友 填写信息