描述

在 WebFlux 的 Spring Security 配置中使用 "**" 作為模式，會在 Spring Security 和 Spring WebFlux 之間產生模式匹配不一致，並存在安全繞過的可能性。

受影響的 Spring 產品和版本

Spring Security

• 6.1.0 到 6.1.1
• 6.0.0 到 6.0.4
• 5.8.0 到 5.8.4
• 5.7.0 到 5.7.9
• 5.6.0 到 5.6.11

緩解措施

以下 Spring Security 版本包含此漏洞的修復程式

• 6.1.2+
• 6.0.5+
• 5.8.5+
• 5.7.10+
• 5.6.12+

以上版本需要 Spring Framework 版本

• 6.0.11+
• 5.3.29+
• 5.2.25+

致謝

此漏洞由 tkswifty 和 Ha1c9on 負責任地披露。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1