Spring Security 安全通告

本頁面列出了 Spring 安全通告。

CVE-2025-22235：如果 Actuator 端點未暴露，Spring Boot EndpointRequest.to() 會建立錯誤的匹配器

中等 | APRIL 24, 2025 | CVE-2025-22235

描述

如果建立 EndpointRequest 的 Actuator 端點被停用或未暴露，EndpointRequest.to() 會為 null/** 建立一個匹配器。

如果滿足以下所有條件，您的應用可能會受到影響

您使用了 Spring Security
EndpointRequest.to() 已在 Spring Security 鏈配置中使用
EndpointRequest 引用的端點被停用或未透過 Web 暴露
您的應用處理對 /null 的請求，並且該路徑需要保護

CVE-2025-22234：Spring Security BCryptPasswordEncoder 最大密碼長度破壞了時序攻擊緩解措施

中等 | APRIL 22, 2025 | CVE-2025-22234

描述

在 CVE-2025-22228 中應用的修復意外地破壞了在 DaoAuthenticationProvider 中實現的時序攻擊緩解措施。

受影響的 Spring 產品和版本

Spring Security

僅 5.7.16
僅 5.8.18
僅 6.0.16
僅 6.1.14
僅 6.2.10
僅 6.3.8
僅 6.4.4
較舊、不受支援的版本也受到影響

CVE-2025-22232：Spring Cloud Config Server 可能不會使用客戶端傳送的 Vault Token

中等 | APRIL 07, 2025 | CVE-2025-22232

描述

當向 Vault 發出請求時，Spring Cloud Config Server 可能不會使用客戶端透過 X-CONFIG-TOKEN 請求頭髮送的 Vault token。

如果滿足以下條件，您的應用可能會受到影響

您的 Spring Cloud Config Server 的 classpath 中包含 Spring Vault，並且
您正在使用 X-CONFIG-TOKEN 請求頭向 Spring Cloud Config Server 傳送 Vault token，以便 Config Server 在向 Vault 發出請求時使用，並且
您正在使用預設的 Spring Vault SessionManager 實現 LifecycleAwareSessionManager 或持久化 Vault token 的 SessionManager 實現（例如 SimpleSessionManager）…

CVE-2025-22223：Spring Security 對引數化型別上的方法安全註解的授權繞過

中等 | MARCH 19, 2025 | CVE-2025-22223

描述

Spring Security 可能無法正確地定位引數化型別或方法上的方法安全註解。這可能導致授權繞過。

如果滿足以下條件，您的應用可能會受到影響

您正在使用 @EnableMethodSecurity，並且
您在引數化的超類、介面或被覆蓋的方法上有一個方法安全註解，但在目標方法上沒有註解

CVE-2025-22228：Spring Security BCryptPasswordEncoder 未強制執行最大密碼長度

高 | MARCH 19, 2025 | CVE-2025-22228

描述

只要前 72 個字元相同，BCryptPasswordEncoder.matches(CharSequence,String) 對超過 72 個字元的密碼會錯誤地返回 true。

受影響的 Spring 產品和版本

Spring Security

5.7.0 - 5.7.15
5.8.0 - 5.8.17
6.0.0 - 6.0.15
6.1.0 - 6.1.13
6.2.0 - 6.2.9
6.3.0 - 6.3.7
6.4.0 - 6.4.3
較舊、不受支援的版本也受到影響

CVE-2024-38829：Spring LDAP 在區分大小寫的比較中暴露敏感資料

低 | NOVEMBER 19, 2024 | CVE-2024-38829

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些依賴於 Locale 的異常，這可能導致查詢到非預期列

與 CVE-2024-38820 相關

受影響的 Spring 產品和版本

Spring LDAP

2.4.0 - 2.4.3
3.0.0 - 3.0.9
3.1.0 - 3.1.7
3.2.0 - 3.2.7
較舊、不受支援的版本也受到影響

CVE-2024-38827：Spring Security 在區分大小寫的比較中存在授權繞過

中等 | NOVEMBER 19, 2024 | CVE-2024-38827

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些依賴於 Locale 的異常，這可能導致授權規則無法正常工作。

與 CVE-2024-38820 相關

受影響的 Spring 產品和版本

Spring…

CVE-2024-38828：透過帶有 byte[] 引數的 Spring MVC 控制器方法進行 DoS 攻擊

中等 | NOVEMBER 15, 2024 | CVE-2024-38828

描述

帶有 @RequestBody byte[] 方法引數的 Spring MVC 控制器方法容易受到 DoS 攻擊。

受影響的 Spring 產品和版本

Spring Framework

5.3.0 - 5.3.41
較舊、不受支援的版本也受到影響

緩解措施

使用者…

WebFlux 應用中靜態資源的授權繞過

嚴重 | OCTOBER 22, 2024 | CVE-2024-38821

描述

對靜態資源應用了 Spring Security 授權規則的 Spring WebFlux 應用在某些情況下可能被繞過。

要影響某個應用，必須滿足以下所有條件

必須是 WebFlux 應用
必須使用了 Spring 的靜態資源支援
必須對靜態資源支援應用了非 permitAll 的授權規則

CVE-2024-38819：功能性 Web 框架中的路徑遍歷漏洞（第二次報告）

高 | OCTOBER 17, 2024 | CVE-2024-38819

描述

透過功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供靜態資源的應用容易受到路徑遍歷攻擊。攻擊者可以精心構造惡意 HTTP 請求，獲取檔案系統上任何同樣…

1
2
3
4
5
6
7
8
9
…
16

報告漏洞

要報告 Spring 組合中專案的安全漏洞，請參閱安全政策