描述

Spring Security，版本 4.2.x 到 4.2.12，以及较旧的不受支持版本，使用 PlaintextPasswordEncoder 支持纯文本密码。如果使用受影响版本的 Spring Security 的应用程序正在利用 PlaintextPasswordEncoder，并且用户具有空的编码密码，则恶意用户（或攻击者）可以使用“null”密码进行身份验证。

受影响的 Spring 产品和版本

• Spring Security 4.2 到 4.2.12
• 较旧的不受支持版本也受到影响
• 请注意，Spring Security 5+ 不受此漏洞的影响。

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.2.x 用户应升级到 4.2.13
• 旧版本应升级到受支持的分支

没有其他必要的缓解步骤。

鸣谢

此问题由来自 mytaxi 的 Tim Büthe 和 Daniel Neagaru 发现并负责任地报告。

历史

2019-06-19：发布初始漏洞报告