Spring Security 安全通告

本页面列出了 Spring 安全通告。

CVE-2025-22235：如果 Actuator 端点未暴露，Spring Boot EndpointRequest.to() 会创建错误的匹配器

中等 | APRIL 24, 2025 | CVE-2025-22235

描述

如果创建 EndpointRequest 的 Actuator 端点被禁用或未暴露，EndpointRequest.to() 会为 null/** 创建一个匹配器。

如果满足以下所有条件，您的应用可能会受到影响

您使用了 Spring Security
EndpointRequest.to() 已在 Spring Security 链配置中使用
EndpointRequest 引用的端点被禁用或未通过 Web 暴露
您的应用处理对 /null 的请求，并且该路径需要保护

CVE-2025-22234：Spring Security BCryptPasswordEncoder 最大密码长度破坏了时序攻击缓解措施

中等 | APRIL 22, 2025 | CVE-2025-22234

描述

在 CVE-2025-22228 中应用的修复意外地破坏了在 DaoAuthenticationProvider 中实现的时序攻击缓解措施。

受影响的 Spring 产品和版本

Spring Security

仅 5.7.16
仅 5.8.18
仅 6.0.16
仅 6.1.14
仅 6.2.10
仅 6.3.8
仅 6.4.4
较旧、不受支持的版本也受到影响

CVE-2025-22232：Spring Cloud Config Server 可能不会使用客户端发送的 Vault Token

中等 | APRIL 07, 2025 | CVE-2025-22232

描述

当向 Vault 发出请求时，Spring Cloud Config Server 可能不会使用客户端通过 X-CONFIG-TOKEN 请求头发送的 Vault token。

如果满足以下条件，您的应用可能会受到影响

您的 Spring Cloud Config Server 的 classpath 中包含 Spring Vault，并且
您正在使用 X-CONFIG-TOKEN 请求头向 Spring Cloud Config Server 发送 Vault token，以便 Config Server 在向 Vault 发出请求时使用，并且
您正在使用默认的 Spring Vault SessionManager 实现 LifecycleAwareSessionManager 或持久化 Vault token 的 SessionManager 实现（例如 SimpleSessionManager）…

CVE-2025-22223：Spring Security 对参数化类型上的方法安全注解的授权绕过

中等 | MARCH 19, 2025 | CVE-2025-22223

描述

Spring Security 可能无法正确地定位参数化类型或方法上的方法安全注解。这可能导致授权绕过。

如果满足以下条件，您的应用可能会受到影响

您正在使用 @EnableMethodSecurity，并且
您在参数化的超类、接口或被覆盖的方法上有一个方法安全注解，但在目标方法上没有注解

CVE-2025-22228：Spring Security BCryptPasswordEncoder 未强制执行最大密码长度

高 | MARCH 19, 2025 | CVE-2025-22228

描述

只要前 72 个字符相同，BCryptPasswordEncoder.matches(CharSequence,String) 对超过 72 个字符的密码会错误地返回 true。

受影响的 Spring 产品和版本

Spring Security

5.7.0 - 5.7.15
5.8.0 - 5.8.17
6.0.0 - 6.0.15
6.1.0 - 6.1.13
6.2.0 - 6.2.9
6.3.0 - 6.3.7
6.4.0 - 6.4.3
较旧、不受支持的版本也受到影响

CVE-2024-38829：Spring LDAP 在区分大小写的比较中暴露敏感数据

低 | NOVEMBER 19, 2024 | CVE-2024-38829

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些依赖于 Locale 的异常，这可能导致查询到非预期列

与 CVE-2024-38820 相关

受影响的 Spring 产品和版本

Spring LDAP

2.4.0 - 2.4.3
3.0.0 - 3.0.9
3.1.0 - 3.1.7
3.2.0 - 3.2.7
较旧、不受支持的版本也受到影响

CVE-2024-38827：Spring Security 在区分大小写的比较中存在授权绕过

中等 | NOVEMBER 19, 2024 | CVE-2024-38827

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些依赖于 Locale 的异常，这可能导致授权规则无法正常工作。

与 CVE-2024-38820 相关

受影响的 Spring 产品和版本

Spring…

CVE-2024-38828：通过带有 byte[] 参数的 Spring MVC 控制器方法进行 DoS 攻击

中等 | NOVEMBER 15, 2024 | CVE-2024-38828

描述

带有 @RequestBody byte[] 方法参数的 Spring MVC 控制器方法容易受到 DoS 攻击。

受影响的 Spring 产品和版本

Spring Framework

5.3.0 - 5.3.41
较旧、不受支持的版本也受到影响

缓解措施

用户…

WebFlux 应用中静态资源的授权绕过

严重 | OCTOBER 22, 2024 | CVE-2024-38821

描述

对静态资源应用了 Spring Security 授权规则的 Spring WebFlux 应用在某些情况下可能被绕过。

要影响某个应用，必须满足以下所有条件

必须是 WebFlux 应用
必须使用了 Spring 的静态资源支持
必须对静态资源支持应用了非 permitAll 的授权规则

CVE-2024-38819：功能性 Web 框架中的路径遍历漏洞（第二次报告）

高 | OCTOBER 17, 2024 | CVE-2024-38819

描述

通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用容易受到路径遍历攻击。攻击者可以精心构造恶意 HTTP 请求，获取文件系统上任何同样…

1
2
3
4
5
6
7
8
9
…
16

报告漏洞

要报告 Spring 组合中项目的安全漏洞，请参阅安全政策