Spring安全公告

所有公告

CVE-2023-34034:WebFlux安全绕过,存在无前缀双通配符模式

高危 | 2023年7月18日 | CVE-2023-34034

描述

在Spring Security配置中使用"**"作为WebFlux的模式会导致Spring Security和Spring WebFlux的模式匹配不一致,并可能导致安全绕过。

受影响的Spring产品和版本

Spring Security

  • 6.1.0 到 6.1.1
  • 6.0.0 到 6.0.4
  • 5.8.0 到 5.8.4
  • 5.7.0 到 5.7.9
  • 5.6.0 到 5.6.11

缓解措施

以下Spring Security版本包含此漏洞的修复程序

  • 6.1.2+
  • 6.0.5+
  • 5.8.5+
  • 5.7.10+
  • 5.6.12+

以上需要Spring Framework版本

  • 6.0.11+
  • 5.3.29+
  • 5.2.25+

致谢

此漏洞由tkswifty和Ha1c9on负责任地披露。

参考资料

报告漏洞

要报告Spring产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware提供培训和认证,以快速提升您的进度。

了解更多

获得支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部