搶佔先機
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2025-22228:Spring Security BCryptPasswordEncoder 不強制執行最大密碼長度
描述
BCryptPasswordEncoder.matches(CharSequence,String) 對於大於 72 個字元的密碼,只要前 72 個字元相同,將錯誤地返回 true。
受影響的 Spring 產品和版本
Spring Security
- 5.7.0 - 5.7.15
- 5.8.0 - 5.8.17
- 6.0.0 - 6.0.15
- 6.1.0 - 6.1.13
- 6.2.0 - 6.2.9
- 6.3.0 - 6.3.7
- 6.4.0 - 6.4.3
- 較舊的,不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.7.x | 5.7.16 | 僅企業支援 |
| 5.8.x | 5.8.18 | 僅企業支援 |
| 6.0.x | 6.0.16 | 僅企業支援 |
| 6.1.x | 6.1.14 | 僅企業支援 |
| 6.2.x | 6.2.10 | 僅企業支援 |
| 6.3.x | 6.3.8 | OSS |
| 6.4.x | 6.4.4 | OSS |
致謝
此問題由 Lars Bruun-Hansen 發現並負責任地報告([email protected])。
參考
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略