描述

Spring Security 切面可能無法正確找到私有方法上的方法安全註解。這可能導致授權繞過。

如果滿足以下條件，您的應用程式可能會受到影響：

1. 如果您正在使用 @EnableMethodSecurity(mode=ASPECTJ) 和 spring-security-aspects，並且
2. 您在私有方法上使用了 Spring Security 方法註解

在這種情況下，目標方法可能能夠在沒有適當授權的情況下被呼叫。

在以下情況下，您不受影響：

1. 您沒有使用 @EnableMethodSecurity(mode=ASPECTJ) 或 spring-security-aspects，或者
2. 您沒有帶有 Spring Security 註解的私有方法

受影響的 Spring 產品和版本

Spring Security

• 6.4.0 - 6.4.5

緩解措施

受影響版本的使用者應升級到相應的修復版本。

無需其他緩解措施。

致謝

此漏洞由 Vitalii 獨立發現並負責任地報告。

參考資料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:X/RL:O/RC:C/CR:L/IR:L/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1