领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2023-34042:spring-security.xsd 的不正确权限分配
描述
spring-security-config jar 中的 spring-security.xsd 文件是全局可写的,这意味着如果提取它,任何有权访问文件系统的人都可以写入。
虽然没有已知的漏洞利用,但这是一个“CWE-732:关键资源的不正确权限分配”的示例,可能导致漏洞利用。用户应更新到最新版本的 Spring Security,以缓解围绕此问题发现的任何未来漏洞。
受影响的 Spring 产品和版本
Spring Security
- 6.1.1 - 6.1.3
- 6.0.4 - 6.0.6
- 5.8.4 - 5.8.6
- 5.7.9 - 5.7.10
缓解措施
以下 Spring Security 版本包含此漏洞的修复程序
- 6.1.4+
- 6.0.7+
- 5.8.7+
- 5.7.11+
信用
Martin Holland - Oval Business Solutions 负责任地披露了此漏洞
参考
报告漏洞
要报告 Spring 组合中的项目的安全漏洞,请参阅安全策略