漏洞描述:
Sрrinɡ Sесuritу可能无法正确定位参数化类型或方法上的方法安全注释,这可能会导致授权绕过。
影响产品:
6.4.0<=Spring Security<=6.4.3
攻击场景:
攻击者可能通过参数化的超类、接口或重写方法上有方法安全注释,但在目标方法上没有注释,来绕过授权
利用条件:
1.使用@EnableMethodSecurity
2.在参数化的超类、接口或重写方法上有方法安全注释,但在目标方法上没有注释
修复建议:
目前官方已发布安全更新,建议用户尽快升级至最新版本:
https://spring.io/security/cve-2025-22223
缓解方案:
确保目标方法具有注释
发布一个AuthоrizаtiоnMаnаɡеrBеfоrеMеthоdIntеrсерtоr正确查找参数化类型注释的版本
原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Security授权绕过漏洞(CVE-2025-22223)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论