領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-22234:Spring Security 中直接使用 isFullyAuthenticated 導致的訪問控制失效
描述
在 Spring Security 中,6.1.x 版本(低於 6.1.7)和 6.2.x 版本(低於 6.2.2)中,當應用程式直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法時,會受到訪問控制失效的影響。
具體來說,如果出現以下情況,應用程式就會受到攻擊:
- 應用程式直接使用
AuthenticationTrustResolver.isFullyAuthenticated(Authentication),並且將null認證引數傳遞給它,導致錯誤的true返回值。
如果滿足以下任何條件,則應用程式不會受到攻擊:
- 應用程式不直接使用
AuthenticationTrustResolver.isFullyAuthenticated(Authentication)。 - 應用程式不將
null傳遞給AuthenticationTrustResolver.isFullyAuthenticated - 應用程式僅透過 方法安全性 或 HTTP 請求安全性 使用
isFullyAuthenticated
受影響的 Spring 產品和版本
- Spring Security
- 6.1.0 到 6.1.6
- 6.2.0 到 6.2.1
緩解措施
受影響版本的使用者應採取以下緩解措施。6.1.x 使用者應升級到 6.1.7。 6.2.x 使用者應升級到 6.2.2。不需要其他步驟。已修復此問題的版本包括
- Spring Security
- 6.1.7
- 6.2.2
鳴謝
此問題由 Rogério Sorroche(https://github.com/rogeriosorroche)發現並負責任地報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略