领先一步
VMware 提供培训和认证,以加快您的进步。
了解更多Spring Security 安全公告
CVE-2024-22234:Spring Security中直接使用isFullyAuthenticated导致的访问控制漏洞
描述
在Spring Security 6.1.x(低于6.1.7版本)和6.2.x(低于6.2.2版本)中,当应用程序直接使用AuthenticationTrustResolver.isFullyAuthenticated(Authentication)方法时,存在访问控制漏洞。
具体来说,如果应用程序满足以下条件,则存在漏洞:
- 应用程序直接使用
AuthenticationTrustResolver.isFullyAuthenticated(Authentication),并且传递给它的身份验证参数为null,导致错误地返回true。
如果满足以下任何条件,则应用程序不存在漏洞:
- 应用程序不直接使用
AuthenticationTrustResolver.isFullyAuthenticated(Authentication)。 - 应用程序不向
AuthenticationTrustResolver.isFullyAuthenticated传递null。 - 应用程序仅通过方法安全或HTTP请求安全使用
isFullyAuthenticated。
受影响的Spring产品和版本
- Spring Security
- 6.1.0 至 6.1.6
- 6.2.0 至 6.2.1
缓解措施
受影响版本的使用者应采取以下缓解措施。6.1.x 用户应升级到 6.1.7。6.2.x 用户应升级到 6.2.2。无需其他步骤。已修复此问题的版本包括:
- Spring Security
- 6.1.7
- 6.2.2
致谢
此问题由 Rogério Sorroche (https://github.com/rogeriosorroche) 发现并负责地报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略