菜单
漏洞描述:
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
2023年7月18日, Spring发布安全公告,修复了一个Spring Security 中的路径匹配绕过漏洞。当 Spring WebFlux 使用 Spring Security 时,如果 Spring Security 使用 ** 来匹配 URL 路径,会导致 Spring Security 和 Spring WebFlux 之间的模式匹配不一致,并可能造成安全绕过。
影响版本:
5.6.0<=Spring Security<=5.6.11
5.7.0<=Spring Security<=5.7.9
5.8.0<=Spring Security<=5.8.4
6.0.0<=Spring Security<=6.0.4
6.1.0<=Spring Security<=6.1.1
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Spring Security 版本6.1.x 用户:升级到 6.1.2
Spring Security 版本6.0.x 用户:升级到 6.0.5
Spring Security 版本5.8.x 用户:升级到 5.8.5
Spring Security 版本5.7.x 用户:升级到 5.7.10
Spring Security 版本5.6.x 用户:升级到 5.6.12
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接:
https://spring.io/security/cve-2023-34034
粤公网安备 44010402002568号