領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2023-34042:spring-security.xsd 的不正確許可權分配
描述
spring-security-config jar 中的 spring-security.xsd 檔案是全域性可寫的,這意味著如果提取它,任何有權訪問檔案系統的人都可以寫入。
雖然沒有已知的漏洞利用,但這是一個“CWE-732:關鍵資源的不正確許可權分配”的示例,可能導致漏洞利用。使用者應更新到最新版本的 Spring Security,以緩解圍繞此問題發現的任何未來漏洞。
受影響的 Spring 產品和版本
Spring Security
- 6.1.1 - 6.1.3
- 6.0.4 - 6.0.6
- 5.8.4 - 5.8.6
- 5.7.9 - 5.7.10
緩解措施
以下 Spring Security 版本包含此漏洞的修復程式
- 6.1.4+
- 6.0.7+
- 5.8.7+
- 5.7.11+
信用
Martin Holland - Oval Business Solutions 負責任地披露了此漏洞
參考
報告漏洞
要報告 Spring 組合中的專案的安全漏洞,請參閱安全策略