Spring Security身份認證繞過漏洞 (CVE-2022-22978) 安全風(fēng)險通告
近日��,奇安信CERT監(jiān)測到Spring Security 身份認證繞過漏洞 (CVE-2022-22978) 細節(jié)及PoC公開�����。當Spring Security中使用RegexRequestMatcher進行權(quán)限配置��,且規(guī)則中使用帶點號的正則表達式時����,未經(jīng)授權(quán)的遠程攻擊者可通過構(gòu)造惡意數(shù)據(jù)包繞過身份認證����,導(dǎo)致配置的權(quán)限驗證失效��。目前����,奇安信CERT已復(fù)現(xiàn)此漏洞���,同時鑒于已有細節(jié)及PoC公開����,建議客戶盡快做好自查�����,及時更新至最新版本����。
| |
| | | |
| | | |
| | | |
| | | |
|
| |
| |
|
| | | |
| | | |
| 當Spring Security中使用RegexRequestMatcher進行權(quán)限配置,且規(guī)則中使用帶點號(.)的正則表達式時���,未經(jīng)授權(quán)的遠程攻擊者可通過構(gòu)造惡意數(shù)據(jù)包繞過身份認證���,導(dǎo)致配置的權(quán)限驗證失效。 |
| Spring Security 5.5.x < 5.5.7Spring Security 5.6.x < 5.6.4Spring Security 其他低版本同樣受影響 |
| Spring Security 5.5.x >= 5.5.7Spring Security 5.6.x >= 5.6.4 |
| 使用Spring Security作為安全訪問控制解決方案的項目 |
奇安信CERT已成功復(fù)現(xiàn)Spring Security 身份認證繞過漏洞 (CVE-2022-22978)����,復(fù)現(xiàn)截圖如下:
| |
| | | |
| | | |
| | |
| |
| |
| |
| |
| |
| |
| |
| 未經(jīng)授權(quán)的遠程攻擊者可利用此漏洞構(gòu)造數(shù)據(jù)包繞過身份認證���,導(dǎo)致配置的權(quán)限驗證失效。 |
