>>>> 漏洞名称:
Spring Security认证绕过漏洞(CVE-2023-34034)
>>>> 组件名称:
Spring Security
>>>> 漏洞类型:
认证绕过
>>>> 利用条件:
1、用户认证:不需要
2、触发方式:远程
>>>> 综合评定利用难度:
简单
>>>> 综合评定威胁等级:
中
1
组件介绍
Spring Security 是一个功能强大且灵活的安全框架,可以帮助开发者简化应用程序的身份验证和授权过程,并提供一系列的安全保护措施。它是构建安全性高的 Java 应用程序的首选框架之一。
2
近日,青藤安全响应中心监测到Spring Security发布了CVE-2023-34034漏洞的修复公告,在Spring Security配置的WebFlux中,使用"**"作为模式会导致Spring Security和Spring WebFlux之间的模式匹配不匹配,并可能导致安全绕过。
影响范围
Spring Security
[5.6.0, 5.6.12)
[5.7.0, 5.7.10)
[5.8.0, 5.8.5)
[6.0.0, 6.0.5)
[6.1.0, 6.1.2)
修复建议
1
官方修复建议
升级至修复版本
2
青藤产品解决方案
青藤万相·主机自适应安全平台已支持该漏洞的检测
参考链接
https://spring.io/security/cve-2023-34034
漏洞时间线
2023年7月18日
spring官方发布CVE-2023-34034的漏洞公告。
2023年7月24日
青藤发布漏洞通告
-完-
原文始发于微信公众号(青藤实验室):【漏洞通告】Spring Security认证绕过漏洞(CVE-2023-34034)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论