描述

在 Spring Security 中，6.1.x 版本（低于 6.1.7）和 6.2.x 版本（低于 6.2.2）中，当应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法时，会受到访问控制失效的影响。

具体来说，如果出现以下情况，应用程序就会受到攻击：

• 应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)，并且将 null 认证参数传递给它，导致错误的 true 返回值。

如果满足以下任何条件，则应用程序不会受到攻击：

• 应用程序不直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication)。
• 应用程序不将 null 传递给 AuthenticationTrustResolver.isFullyAuthenticated
• 应用程序仅通过 方法安全性 或 HTTP 请求安全性 使用 isFullyAuthenticated

受影响的 Spring 产品和版本

• Spring Security
  • 6.1.0 到 6.1.6
  • 6.2.0 到 6.2.1

缓解措施

受影响版本的用户应采取以下缓解措施。6.1.x 用户应升级到 6.1.7。 6.2.x 用户应升级到 6.2.2。不需要其他步骤。已修复此问题的版本包括

• Spring Security
  • 6.1.7
  • 6.2.2

鸣谢

此问题由 Rogério Sorroche（https://github.com/rogeriosorroche）发现并负责任地报告。