0x01 漏洞信息
0x02 漏洞描述
0x03 漏洞状态
|
|
|
|
|
|
|
|
|
|
0x04 影响版本
5.6.0 <= Spring Security <= 5.6.8
5.7.0 <= Spring Security <= 5.7.4
0x05 漏洞排查
方法一
Windows 系统:
全盘搜索 spring-security-bom- ,如果存在 spring-security-bom- {version}.jar ,则用户可能受影响。
Linux 系统:
使用 find / -name ‘spring-security*’ 命令搜索,如果存在 spring-security-bom-{version}.jar 则用户可能受漏洞影响。
方法二
若为 Maven 项目,可查看项目 pom.xml 中 spring-security-core 和 spring-security-web 的 version 字段值是否位于受影响版本。
如果 pom.xml 中没有写明 spring-security-core 和 spring-security-web 的版本号,说明使用了 Springboot 内置的 Spring Security 组件,可以在此链接中查询 Springboot 对应版本内置 Spring Security 的版本号。
查询链接:https://github.com/spring-projects/spring-boot/releases
0x06 漏洞加固
原文始发于微信公众号(安迈信科应急响应中心):【漏洞通告】Spring Security身份认证绕过漏洞(CVE-2022-31692)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论