領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2019-11272:PlaintextPasswordEncoder 驗證空的編碼密碼
描述
Spring Security,版本 4.2.x 到 4.2.12,以及較舊的不受支援版本,使用 PlaintextPasswordEncoder 支援純文字密碼。如果使用受影響版本的 Spring Security 的應用程式正在利用 PlaintextPasswordEncoder,並且使用者具有空的編碼密碼,則惡意使用者(或攻擊者)可以使用“null”密碼進行身份驗證。
受影響的 Spring 產品和版本
- Spring Security 4.2 到 4.2.12
- 較舊的不受支援版本也受到影響
- 請注意,Spring Security 5+ 不受此漏洞的影響。
緩解措施
受影響版本的使用者應採取以下緩解措施
- 4.2.x 使用者應升級到 4.2.13
- 舊版本應升級到受支援的分支
沒有其他必要的緩解步驟。
鳴謝
此問題由來自 mytaxi 的 Tim Büthe 和 Daniel Neagaru 發現並負責任地報告。
歷史
2019-06-19:釋出初始漏洞報告
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略