描述

Spring Security 与 Spring Framework 5.0.5.RELEASE 结合使用时，在使用方法安全性时包含一个授权绕过漏洞。未经授权的恶意用户可以获得对应该受到限制的方法的未经授权的访问权限。

受影响的 Spring 产品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security（任何版本）
• 只有在使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全性的应用程序才会受到影响。该错误存在于 Spring Framework 5.0.5.RELEASE 中，但除非与 Spring Security 的方法安全性支持相结合，否则不被视为 CVE。
• 该错误仅存在于 Spring Framework 5.0.5.RELEASE 中。如果应用程序不使用 Spring Framework 5.0.5.RELEASE，则不会受到影响。该错误不会影响任何 Spring Framework 4.x 版本或任何其他版本的 Spring Framework。

缓解措施

• 利用 Spring Framework 5.x 的用户应避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 会以传递方式引入 Spring Framework 5.0.6.RELEASE+。但是，用户应确保其他依赖管理机制也已更新为使用 Spring Framework 5.0.6.RELEASE 或更高版本。
• 利用 Spring Framework 4.x（Spring Security 4.x 或 Spring Boot 1.x）的用户不会受到影响，因此无需采取任何措施。
• 不需要其他缓解步骤。

致谢

此问题由 Spring Security 团队内部发现。

历史记录

2018-05-09：发布初始漏洞报告

• 2018-07-30：关于受影响版本的澄清