Spring Security 公告

RSS feed

CVE-2023-20866:在 Spring Session 中,会话 ID 可能会被记录到标准输出流

MEDIUM | 2023 年 4 月 12 日 | CVE-2023-20866

描述

在 Spring Session 3.0.0 版本中,会话 ID 可能会被记录到标准输出流。 此漏洞会将敏感信息暴露给那些有权访问应用程序日志的人,并可能被用于会话劫持。

具体来说,当满足以下条件时,应用程序容易受到攻击

  • 您正在使用 HeaderHttpSessionIdResolver

如果满足以下任一条件,则应用程序不会受到攻击

  • 您没有使用 HeaderHttpSessionIdResolver

受影响的 Spring 产品和版本

Spring Session 3.0.0

缓解措施

受影响版本的用户应升级到 Spring Session 3.0.1。已修复此问题的版本包括

  • Spring Session 3.0.1

致谢

此问题由 DATEV eG 的 Benedikt Halser 发现并负责任地报告

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部