描述

Spring Security 與 Spring Framework 5.0.5.RELEASE 結合使用時，在使用方法安全性時包含一個授權繞過漏洞。未經授權的惡意使用者可以獲得對應該受到限制的方法的未經授權的訪問許可權。

受影響的 Spring 產品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security（任何版本）
• 只有在使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全性的應用程式才會受到影響。該錯誤存在於 Spring Framework 5.0.5.RELEASE 中，但除非與 Spring Security 的方法安全性支援相結合，否則不被視為 CVE。
• 該錯誤僅存在於 Spring Framework 5.0.5.RELEASE 中。如果應用程式不使用 Spring Framework 5.0.5.RELEASE，則不會受到影響。該錯誤不會影響任何 Spring Framework 4.x 版本或任何其他版本的 Spring Framework。

緩解措施

• 利用 Spring Framework 5.x 的使用者應避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 會以傳遞方式引入 Spring Framework 5.0.6.RELEASE+。但是，使用者應確保其他依賴管理機制也已更新為使用 Spring Framework 5.0.6.RELEASE 或更高版本。
• 利用 Spring Framework 4.x（Spring Security 4.x 或 Spring Boot 1.x）的使用者不會受到影響，因此無需採取任何措施。
• 不需要其他緩解步驟。

致謝

此問題由 Spring Security 團隊內部發現。

歷史記錄

2018-05-09：釋出初始漏洞報告

• 2018-07-30：關於受影響版本的澄清