一、背景介紹
近日,市委網信辦技術支撐單位監測發現Spring Security身份認證繞過漏洞(CVE-2022-22978)。
1.1漏洞描述
Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控製解決方案的安全框架。
當Spring Security中使用 RegexRequestMatcher 進行權限配置,且規則中使用帶點號(.)的正則表達式時,未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效👩🏼🦰。
1.2 漏洞編號:CVE-2022-22978
1.3 漏洞等級🌔:高危
二、修復建議
2.1 受影響版本
Spring Security 5.5.x < 5.5.7
Spring Security 5.6.x < 5.6.4
Spring Security 其他低版本同樣受影響
2.2修復建議
目前💇,官方已發布可更新版本,建議用戶及時更新🏄♀️:
Spring Security 5.5.x升級至5.5.7 :https://github.com/spring-projects/spring-security/releases/tag/5.5.7
Spring Security 5.6.x升級至5.6.4 👶🏼🦈:https://github.com/spring-projects/spring-security/releases/tag/5.6.4
