描述

spring-security-config jar包中的spring-security.xsd文件具有世界可写权限，这意味着如果提取该文件，任何拥有文件系统访问权限的用户都可以写入该文件。

虽然目前没有已知的漏洞利用方式，但这属于“CWE-732：关键资源权限分配错误”的范例，可能导致漏洞利用。用户应更新到最新版本的Spring Security以减轻围绕此问题发现的任何未来漏洞利用。

受影响的Spring产品和版本

Spring Security

• 6.1.1 - 6.1.3
• 6.0.4 - 6.0.6
• 5.8.4 - 5.8.6
• 5.7.9 - 5.7.10

缓解措施

以下Spring Security版本包含此漏洞的修复程序

• 6.1.4+
• 6.0.7+
• 5.8.7+
• 5.7.11+

致谢

此漏洞由Martin Holland - Oval Business Solutions负责任地披露。

参考文献

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C/CR:L/IR:H/AR:X/MAV:L/MAC:H/MPR:H/MUI:N/MS:U/MC:N/MI:H/MA:N&version=3.1
• https://cwe.mitre.org/data/definitions/732.html