描述

Spring Security 的 4.2.x 版本（直至 4.2.12）及更早的不受支援的版本透過 PlaintextPasswordEncoder 支援明文密碼。如果使用受影響版本 Spring Security 的應用程式正在使用 PlaintextPasswordEncoder，並且使用者擁有一個空的編碼密碼，那麼惡意使用者（或攻擊者）可以使用“null”作為密碼進行身份驗證。

受影響的 Spring 產品和版本

• Spring Security 4.2 至 4.2.12
• 更舊的不受支援的版本也受到影響
• 請注意，Spring Security 5+ 版本不受此漏洞影響。

緩解措施

受影響版本的使用者應採取以下緩解措施

• 4.2.x 使用者應升級到 4.2.13
• 舊版本應升級到受支援的分支

無需其他緩解步驟。

致謝

此問題由 mytaxi 的 Tim Büthe 和 Daniel Neagaru 發現並負責任地報告。

歷史

2019-06-19：首次釋出漏洞報告