欢迎user
新华三盾山实验室
2023/04/13
Spring Session是一个用于解决分布式系统中Session管理问题的外部扩展库,旨在为处理分布式会话提供简单、一致的编程模型。Spring Session利用了Spring框架强大的依赖注入和拦截器功能,为开发人员提供了方便的工具,实现了Session的有效管理。近日,新华三盾山实验室监测到Spring官方发布了安全公告,修复了一个存在于Spring Session中的信息泄露漏洞(CVE-2023-20866),攻击者利用该漏洞可获取敏感信息。
该漏洞由于Session ID可以被记录到标准输出流中,当使用HeaderHttpSessionIdResolver(基于请求头解析sessionId)时,具有应用程序日志访问权限的恶意攻击者成功利用此漏洞可获取敏感信息,并用于会话劫持攻击。
Spring Session 3.0.0
威胁等级 | 中危 |
影响程度 | 广泛 |
利用价值 | 中等 |
利用难度 | 低 |
漏洞评分 | / |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/spring-projects/spring-session/releases/tag/3.0.1
https://spring.io/security/cve-2023-20866