【漏洞预警】Spring Security 访问控制错误漏洞CVE-2024-22234

cexlife 飓风网络安全 2024-02-20 21:25

漏洞描述:Spring Security是美国威睿（VMware ）公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架,近日,监测到Spring发布安全公告，修复了一个Spring Security 中的访问控制错误漏洞。如果应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法,则可能会导致身份验证和授权绕过。当应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)时，并向其传递了一个 null 验证参数，则会导致错误的true返回值，这可能会导致身份验证和授权绕过。漏洞威胁等级:高危影响版本:Spring Security 6.1.0-6.1.6Spring Security 6.2.0-6.2.1修复建议:正式防护方案:厂商已发布补丁修复漏洞，用户请尽快更新至安全版本:Spring Security 版本6.1.x 用户:升级到 6.1.7Spring Security 版本6.2.x 用户:升级到 6.2.2下载链接:https://spring.io/projects/spring-security与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击注意，满足以下任一条件的应用程序不易受到攻击：1.应用程序不直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)2.应用程序未将null传递给AuthenticationTrustResolver.isFullyAuthenticated3.应用程序仅通过 Method Security或 HTTP Request Security使用 isFullyAuthenticated参考链接:https://spring.io/security/cve-2024-22234