0x00 前言
Spring是Java EE编程领域的一个轻量级开源框架。
Spring 框架的核心特性是可以用于开发任何 Java 应用程序,但是在 Java EE 平台上构建 web 应用程序是需要扩展的。
Spring 框架的目标是使 J2EE 开发变得更容易使用,通过启用基于 POJO 的编程模型来促进良好的编程实践。
0x01 漏洞描述
应用程序直接使用AuthenticationTrustResolver.isFullyAuthenticated(Authentication),并向其传递一个null身份验证参数,导致错误的true返回值。
0x02 CVE编号
CVE-2024-22234
0x03 影响版本
Spring Security 6.1.0 to 6.1.6
Spring Security 6.2.0 to 6.2.1
0x04 漏洞详情
https://spring.io/security/cve-2024-22234
0x05 参考链接
https://spring.io/security/cve-2024-22234
原文始发于微信公众号(信安百科):CVE-2024-22234|Spring Security访问控制错误漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论