安全通告
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
身份认证绕过 |
|
|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
漏洞描述 |
当Spring Security中使用RegexRequestMatcher进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 |
||
|
影响版本 |
Spring Security 5.5.x < 5.5.7 Spring Security 5.6.x < 5.6.4 Spring Security 其他低版本同样受影响 |
||
|
不受影响版本 |
Spring Security 5.5.x >= 5.5.7 Spring Security 5.6.x >= 5.6.4 |
||
|
其他受影响组件 |
使用Spring Security作为安全访问控制解决方案的项目 |
||
奇安信CERT已成功复现Spring Security 身份认证绕过漏洞 (CVE-2022-22978),复现截图如下:
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
未经授权的远程攻击者可利用此漏洞构造数据包绕过身份认证,导致配置的权限验证失效。 |
|||
目前,官方已发布可更新版本,建议用户及时更新:
Spring Security 5.5.x 升级至 5.5.7 :
https://github.com/spring-projects/spring-security/releases/tag/5.5.7
Spring Security 5.6.x 升级至 5.6.4 :
https://github.com/spring-projects/spring-security/releases/tag/5.6.4
奇安信开源卫士已支持
奇安信开源卫士20220524.1078版本已支持对VMware Spring Security 身份认证绕过漏洞 (CVE-2022-22978)的检测。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对Vmware Spring Security 身份认证绕过漏洞 (CVE-2022-22978)的防护。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7442,建议用户尽快升级检测规则库至2205241930以后版本并启用该检测规则。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0524.13346上版本。规则名称:Spring Security RegexRequestMatcher认证绕过漏洞(CVE-2022-22978),规则ID:0x10020F27。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
[1]https://tanzu.vmware.com/security/cve-2022-22978
2022年5月24日,奇安信CERT发布安全风险通告
原文始发于微信公众号(奇安信 CERT):【已复现】Spring Security 身份认证绕过漏洞 (CVE-2022-22978)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论