漏洞描述:
Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架,近日,监测到Spring发布安全公告,修复了一个Spring Security 中的访问控制错误漏洞。如果应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法,则可能会导致身份验证和授权绕过。当应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)时,并向其传递了一个 null 验证参数,则会导致错误的true返回值,这可能会导致身份验证和授权绕过。
漏洞威胁等级:
高危
影响版本:
Spring Security 6.1.0-6.1.6
Spring Security 6.2.0-6.2.1
修复建议:
正式防护方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Spring Security 版本6.1.x 用户:升级到 6.1.7
Spring Security 版本6.2.x 用户:升级到 6.2.2
下载链接:
https://spring.io/projects/spring-security
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击
注意,满足以下任一条件的应用程序不易受到攻击:
1.应用程序不直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)
2.应用程序未将null传递给AuthenticationTrustResolver.isFullyAuthenticated
3.应用程序仅通过 Method Security或 HTTP Request Security使用 isFullyAuthenticated
参考链接:
https://spring.io/security/cve-2024-22234
原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Security 访问控制错误漏洞CVE-2024-22234
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论