描述

Spring Security 可能無法正確地定位引數化型別或方法上的方法安全註解。這可能會導致授權繞過。

如果滿足以下條件，您的應用程式可能會受到影響

1. 您正在使用 @EnableMethodSecurity，並且
2. 您在引數化的超類、介面或重寫方法上有一個方法安全註解，並且目標方法上沒有註解

在這種情況下，目標方法可能能夠在沒有適當授權的情況下被呼叫。

如果滿足以下條件，您不會受到影響

1. 您沒有使用 @EnableMethodSecurity，或者
2. 您在引數化型別或方法上沒有方法安全註解，或者
3. 所有方法安全註解都附加到目標方法

受影響的 Spring 產品和版本

Spring Security

• 6.4.0 - 6.4.3

緩解措施

受影響版本的使用者應升級到相應的修復版本。

不需要其他緩解步驟。

如果您無法升級，那麼您可以

1. 確保目標方法具有註解，而不是其引數化的祖先，或者
2. 釋出一個 AuthorizationManagerBeforeMethodInterceptor，它可以正確地在引數化型別上查詢註解（請參閱 Spring Security 問題日誌中的示例）

致謝

此漏洞由 Vasil Ilchev 和 Neale Upstone 獨立發現並負責任地報告。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C/CR:L/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:L/MI:N/MA:N&version=3.1