描述

在 Spring Security 的 6.1.x 版本（6.1.7 之前）和 6.2.x 版本（6.2.2 之前）中，當應用程式直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法時，容易受到訪問控制失效的攻擊。

具體來說，如果出現以下情況，應用程式就會受到攻擊：

• 應用程式直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)，並且向其傳遞了 null 的認證引數，導致返回錯誤的 true 值。

在以下任何一種情況為真時，應用程式不易受攻擊：

• 應用程式未直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)。
• 應用程式未向 AuthenticationTrustResolver.isFullyAuthenticated 傳遞 null。
• 應用程式僅透過方法安全或HTTP 請求安全使用 isFullyAuthenticated。

受影響的 Spring 產品和版本

• Spring Security
  • 6.1.0 至 6.1.6
  • 6.2.0 至 6.2.1

緩解措施

受影響版本的使用者應採取以下緩解措施。6.1.x 使用者應升級到 6.1.7。6.2.x 使用者應升級到 6.2.2。無需採取其他步驟。已修復此問題的版本包括：

• Spring Security
  • 6.1.7
  • 6.2.2

致謝

此問題由 Rogério Sorroche (https://github.com/rogeriosorroche) 發現並負責任地報告。