漏洞描述:
近日监测到SpringSecurity中修复了一个访问控制不当漏洞(CVE-2024-22257),该漏洞的CVSS评分为8.2,Spring Security多个受影响版本中,当应用程序直接使用AuthenticatedVoter#vote,并向其传递null身份验证参数时,可能导致错误的true返回值,成功利用该漏洞可能破坏Spring Security中的访问控制,导致身份验证和授权绕过、未授权访问等。
影响范围:
Spring Security 6.2.0 - 6.2.2
Spring Security 6.1.0 - 6.1.7
Spring Security 6.0.0 - 6.0.9
Spring Security 5.8.0 - 5.8.10
Spring Security 5.7.0 - 5.7.11
以及不受支持的旧版本
安全措施:
开发者避免将null作为参数传递给AuthenticatedVoter#vote方法
将org.springframework.security:spring-security-core升级至 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3及以上版本
升级版本:
目前该漏洞已经修复,受影响用户可升级到以下版本:
Spring Security 5.7.x:升级到5.7.12
Spring Security 5.8.x:升级到5.8.11
Spring Security 6.0.x:升级到6.0.10(仅企业支持)
Spring Security 6.1.x:升级到6.1.8
Spring Security 6.2.x:升级到6.2.3
下载链接:
https://spring.io/projects/spring-security
临时措施:
注意,满足以下任一条件的应用程序不易受到攻击:
l.应用程序不直接使用AuthenticatedVoter#vote
2.应用程序没有向AuthenticatedVoter#vote传递null
此外,AuthenticatedVoter自5.8起已被弃用,可使用AuthorizationManager的实现作为替代
参考链接:
https://spring.io/security/cve-2024-22257
原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Security访问控制不当漏洞(CVE-2024-22257)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论