描述

Spring Security 5.4.0到5.4.3、5.3.0.RELEASE到5.3.8.RELEASE、5.2.0.RELEASE到5.2.8.RELEASE以及更旧的、不受支持的版本，如果在单个请求中多次更改SecurityContext，则可能无法保存SecurityContext。如果开发人员在单个请求中两次更改SecurityContext，并且同时满足以下两个条件，则SecurityContext可能无法保存到HttpSession：首先，开发人员必须在提交HttpResponse之前更改SecurityContext，然后必须在SecurityContextPersistenceFilter完成之前提交HttpResponse。然后，开发人员必须在SecurityContextPersistenceFilter完成之前再次尝试更改SecurityContext。恶意用户无法导致此错误发生（必须通过编程实现）。但是，如果应用程序的意图是只允许用户在应用程序的一小部分中以提升的权限运行，则可以利用此错误将这些权限扩展到应用程序的其余部分。

受影响的Spring产品和版本

• Spring Security
  • 5.4.0 到 5.4.3
  • 5.3.0.RELEASE 到 5.3.8.RELEASE
  • 5.2.0.RELEASE 到 5.2.8.RELEASE

缓解措施

受影响版本的使用者应采取以下缓解措施：5.4.x 用户应升级到 5.4.4，5.3.x 用户应升级到 5.3.9.RELEASE，5.2.x 用户应升级到 5.2.9.RELEASE。较旧的版本应升级到受支持的分支。无需其他缓解步骤。已修复此问题的版本包括：

• Spring Security
  • 5.4.4
  • 5.3.9.RELEASE
  • 5.2.9.RELEASE

致谢

此问题由CloudBees, Inc.的Daniel Beck、Jeff Thompson、Jesse Glick和Wadeck Follonier发现并负责任地报告。

参考资料

• https://tanzu.vmware.com/security/cve-2021-22112

历史记录

• 2021-02-19：更正了已修复的版本
• 2021-02-19：发布了初始漏洞报告。