描述

在 Spring Security 配置中使用 "**" 作為模式與 mvcRequestMatcher 會在 Spring Security 和 Spring MVC 之間建立模式匹配的不匹配，並存在安全繞過的可能性。

受影響的 Spring 產品和版本

• Spring Framework
  • 6.0.0 至 6.0.6
  • 5.3.0 至 5.3.25
  • 低於 5.3 的版本不受影響

緩解措施

以下 Spring Framework 版本包含此漏洞的修復程式

• 6.0.7+
• 5.3.26+

致謝

此漏洞是在內部發現的。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

歷史

• 2023-03-20：釋出初始漏洞報告。