欢迎user
新华三盾山实验室
2023/07/20
Spring Security是一个基于框架的安全性身份验证和授权管理组件,提供一套完善的安全解决方案,可以轻松地实现基于角色或者资源的安全访问控制以及单点登录等。具有兼容性好、易集成等特点。近日,新华三盾山实验室监测到Spring官方发布了安全公告,修复了一个存在于Spring Security中的身份认证绕过漏洞(CVE-2023-34034),攻击者利用该漏洞可绕过身份认证。
由于Spring Security存在身份认证绕过漏洞,当WebFlux中的Spring Security配置使用“**”作为匹配模式时,会导致Spring Security 和Spring WebFlux之间的模式匹配存在差异,恶意攻击者成功利用此漏洞可绕过身份认证机制。
Spring Security 6.1.0 <= 6.1.1
Spring Security 6.0.0 <= 6.0.4
Spring Security 5.8.0 <= 5.8.4
Spring Security 5.7.0 <= 5.7.9
Spring Security 5.6.0 <= 5.6.11
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 中等 |
漏洞评分 | 9.1 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://spring.io/projects/spring-security