遥遥领先
VMware 提供培训和认证,可加速您的进步。
了解更多CVE-2023-34034:使用无前缀双通配符模式的 WebFlux 安全绕过
描述
在 WebFlux 的 Spring Security 配置中使用 "**" 作为模式,会在 Spring Security 和 Spring WebFlux 之间产生模式匹配不一致,并存在安全绕过的可能性。
受影响的 Spring 产品和版本
Spring Security
- 6.1.0 到 6.1.1
- 6.0.0 到 6.0.4
- 5.8.0 到 5.8.4
- 5.7.0 到 5.7.9
- 5.6.0 到 5.6.11
缓解措施
以下 Spring Security 版本包含此漏洞的修复程序
- 6.1.2+
- 6.0.5+
- 5.8.5+
- 5.7.10+
- 5.6.12+
以上版本需要 Spring Framework 版本
- 6.0.11+
- 5.3.29+
- 5.2.25+
致谢
此漏洞由 tkswifty 和 Ha1c9on 负责任地披露。
参考
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略