Vmware Spring Security设计缺陷漏洞

漏洞描述:

Vmware Spring Security发布安全公告,披露了一处逻辑缺陷漏洞,漏洞源于对CVE-2025-22228漏洞的修复中破坏了DaoAuthenticationProvider中实现的计时攻击缓解机制,官方已在新版本中修复此漏洞,建议受影响用户及时升级到安全版本。

修复建议:

正式防护方案:

针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:

Spring Security >= 5.7.17

Spring Security >= 5.8.19

Spring Security >= 6.0.17

Spring Security >= 6.1.15

Spring Security >= 6.2.11

Spring Security >= 6.3.9

Spring Security >= 6.4.5

下载链接:

https://github.com/spring-projects/spring-security/releases/

安装前,请确保备份所有关键数据,并按照官方指南进行操作安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:

https://spring.io/security/cve-2025-22234

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Vmware Spring Security设计缺陷漏洞