描述

Spring Security结合Spring Framework 5.0.5.RELEASE在使用方法安全时存在授权绕过漏洞。未经授权的恶意用户可以访问本应受限的方法。

受影响的Spring产品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security（任何版本）
• 只有在应用程序同时使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全时才会受到影响。该漏洞存在于 Spring Framework 5.0.5.RELEASE 中，但除非与 Spring Security 的方法安全支持结合使用，否则不被认为是 CVE。
• 该漏洞仅存在于 Spring Framework 5.0.5.RELEASE 中。如果应用程序不使用 Spring Framework 5.0.5.RELEASE，则不会受到影响。此漏洞不会影响任何 Spring Framework 4.x 版本或任何其他版本的 Spring Framework。

缓解措施

• 使用 Spring Framework 5.x 的用户应避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 会间接引入 Spring Framework 5.0.6.RELEASE+。但是，用户应确保其他依赖项管理机制也更新为使用 Spring Framework 5.0.6.RELEASE 或更高版本。
• 使用 Spring Framework 4.x（Spring Security 4.x 或 Spring Boot 1.x）的用户不会受到影响，因此无需采取任何措施。
• 无需其他缓解措施。

致谢

此问题由Spring Security团队内部发现。

历史记录

2018-05-09：发布初始漏洞报告

• 2018-07-30：关于受影响版本的说明