領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2025-22234:Spring Security BCryptPasswordEncoder 最大密碼長度破壞了時序攻擊緩解措施
描述
在 CVE-2025-22228 中應用的修復程式無意中破壞了在 DaoAuthenticationProvider 中實現的時序攻擊緩解措施。
受影響的 Spring 產品和版本
Spring Security
- 僅限 5.7.16
- 僅限 5.8.18
- 僅限 6.0.16
- 僅限 6.1.14
- 僅限 6.2.10
- 僅限 6.3.8
- 僅限 6.4.4
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.7.16 | 5.7.17 | 僅企業支援 |
| 5.8.18 | 5.8.19 | 僅企業支援 |
| 6.0.16 | 6.0.17 | 僅企業支援 |
| 6.1.14 | 6.1.15 | 僅企業支援 |
| 6.2.10 | 6.2.11 | 僅企業支援 |
| 6.3.8 | 6.3.9 | 開源 |
| 6.4.4 | 6.4.5 | 開源 |
鳴謝
該問題由 Jonas Robl 發現並負責任地報告([email protected])。
參考
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略