- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2022/11/02
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,为应用系统提供声明式的安全访问控制功能。Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。近日,新华三攻防实验室威胁预警团队监测到Spring Security官方发布安全更新公告,修复了存在于Spring Security中的一个权限提升漏洞(CVE-2022-31690)和一个授权规则绕过漏洞 (CVE-2022-31692)。新华三攻防实验室建议用户更新Spring Security到最新的安全版本避免遭受攻击利用。
1. CVE-2022-31690 Spring Security Oauth2 Client权限提升漏洞
该漏洞存在于spring-security-oauth2-client中,恶意攻击者可以通过向服务器发送构造的特殊请求,成功利用此漏洞实现权限提升。
危害等级:高危
2. CVE-2022-31692 Spring Security授权规则绕过漏洞
该漏洞存在于Spring Security版本中,恶意攻击者在某些特定情况下,通过FORWARD或INCLUDE调度来绕过授权规则。
危害等级:高危
· 5.6.0 =< Spring Security <= 5.6.8
· 5.7.0 =< Spring Security <= 5.7.4
· Spring Security 旧的、不受支持的版本
目前Spring官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/spring-projects/spring-security/tags
https://tanzu.vmware.com/security/cve-2022-31690
https://spring.io/blog/2022/10/31/cve-2022-31692-authorization-rules-can-be-bypassed-via-forward-or-include-in-spring-security
产品与解决方案
