描述

Spring Security 結合 Spring Framework 5.0.5.RELEASE 版本在使用方法安全時存在一個授權繞過漏洞。未經授權的惡意使用者可以獲得對本應受限制方法的未經授權訪問。

受影響的 Spring 產品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security (任何版本)
• 僅當應用程式同時使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全時才會受到影響。該漏洞存在於 Spring Framework 5.0.5.RELEASE 中，但除非與 Spring Security 的方法安全支援結合使用，否則不被視為 CVE。
• 該漏洞僅存在於 Spring Framework 5.0.5.RELEASE 版本中。如果應用程式不使用 Spring Framework 5.0.5.RELEASE，則不受影響。該漏洞不影響任何 Spring Framework 4.x 版本或 Spring Framework 的任何其他版本。

緩解措施

• 使用 Spring Framework 5.x 的使用者應避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 會間接引入 Spring Framework 5.0.6.RELEASE+。但是，使用者應確保其他依賴管理機制也已更新為使用 Spring Framework 5.0.6.RELEASE 或更新版本。
• 使用 Spring Framework 4.x (Spring Security 4.x 或 Spring Boot 1.x) 的使用者不受影響，因此無需採取任何措施。
• 無需其他緩解措施。

致謝

該問題由 Spring Security 團隊內部識別。

歷史

2018-05-09：初始漏洞報告發布

• 2018-07-30：關於受影響版本的說明