Spring Security 公告

RSS feed

CVE-2023-20866:在 Spring Session 中,會話 ID 可能會被記錄到標準輸出流

MEDIUM | 2023 年 4 月 12 日 | CVE-2023-20866

描述

在 Spring Session 3.0.0 版本中,會話 ID 可能會被記錄到標準輸出流。 此漏洞會將敏感資訊暴露給那些有權訪問應用程式日誌的人,並可能被用於會話劫持。

具體來說,當滿足以下條件時,應用程式容易受到攻擊

  • 您正在使用 HeaderHttpSessionIdResolver

如果滿足以下任一條件,則應用程式不會受到攻擊

  • 您沒有使用 HeaderHttpSessionIdResolver

受影響的 Spring 產品和版本

Spring Session 3.0.0

緩解措施

受影響版本的使用者應升級到 Spring Session 3.0.1。已修復此問題的版本包括

  • Spring Session 3.0.1

致謝

此問題由 DATEV eG 的 Benedikt Halser 發現並負責任地報告

報告漏洞

要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,以加速您的進步。

瞭解更多

獲得支援

Tanzu Spring 在一個簡單的訂閱中提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案。

瞭解更多

即將舉行的活動

檢視 Spring 社群中所有即將舉行的活動。

檢視全部