Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

admin 2024年10月31日22:03:50评论49 views字数 1459阅读4分51秒阅读模式
Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

漏洞名称:

Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

组件名称:

威睿-Spring Security

影响范围:

Spring Security ≤ 5.7.12
5.8.0 ≤ Spring Security ≤ 5.8.14
6.0.0 ≤ Spring Security ≤ 6.0.12
6.1.0 ≤ Spring Security ≤ 6.1.10
6.2.0 ≤ Spring Security ≤ 6.2.6
6.3.0 ≤ Spring Security ≤ 6.3.3

漏洞类型:

未授权访问

利用条件:

1、用户认证:不需要用户认证

2、前置条件:(1)需要使用WebFlux应用 (2)使用Spring Security静态资源 (3)必须具有应用于静态资源的 non-permitAll 授权规则

3、触发方式:远程

综合评价:

<综合评定利用难度>:容易,能造成权限绕过。

<综合评定威胁等级>:高危,能造成权限绕过。

官方解决方案:

已发布

漏洞分析

Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

组件介绍

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。
Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

漏洞简介

2024年10月31日,深瞳漏洞实验室监测到一则威睿-Spring Security组件存在未授权访问漏洞的信息,漏洞编号:CVE-2024-38821,漏洞威胁等级:严重。

在某些情况下,对静态资源具有 Spring Security 授权规则的 Spring WebFlux 应用程序可以被绕过。未授权的攻击者可以利用该漏洞绕过权限控制,访问静态资源,导致敏感信息泄露和服务器失控。该漏洞利用详情已在互联网上公开。

影响范围

目前受影响的威睿-Spring Security版本:

Spring Security ≤ 5.7.12
5.8.0 ≤ Spring Security ≤ 5.8.14
6.0.0 ≤ Spring Security ≤ 6.0.12
6.1.0 ≤ Spring Security ≤ 6.1.10
6.2.0 ≤ Spring Security ≤ 6.2.6
6.3.0 ≤ Spring Security ≤ 6.3.3

解决方案

Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

官方修复建议

安全版本:
Spring Security 5.7.13(仅限企业支持)
Spring Security 5.8.15(仅限企业支持)
Spring Security 6.0.13(仅限企业支持)
Spring Security 6.1.11(仅限企业支持)
Spring Security 6.2.7Spring Security 6.3.4

解决方案:
Vmware官方已发布最新版本修复该漏洞,建议受影响用户将Spring Security更新到最新版本。下载链接:https://github.com/spring-projects/spring-security/tags
注:部分版本目前只支持企业版本

Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

深信服解决方案

风险资产发现

支持对威睿-Spring Security的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服云镜YJ】 已发布资产检测方案,指纹ID:0007881。

参考链接

https://spring.io/security/cve-2024-38821

时间轴

2024/10/31

深瞳漏洞实验室监测到Spring Security 静态资源未授权访问漏洞信息。

2024/10/31

深瞳漏洞实验室发布漏洞通告。

点击阅读原文

原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月31日22:03:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)https://cn-sec.com/archives/3339115.html

发表评论

匿名网友 填写信息