描述

Spring Security 可能无法正确地定位参数化类型或方法上的方法安全注解。这可能会导致授权绕过。

如果满足以下条件，您的应用程序可能会受到影响

1. 您正在使用 @EnableMethodSecurity，并且
2. 您在参数化的超类、接口或重写方法上有一个方法安全注解，并且目标方法上没有注解

在这种情况下，目标方法可能能够在没有适当授权的情况下被调用。

如果满足以下条件，您不会受到影响

1. 您没有使用 @EnableMethodSecurity，或者
2. 您在参数化类型或方法上没有方法安全注解，或者
3. 所有方法安全注解都附加到目标方法

受影响的 Spring 产品和版本

Spring Security

• 6.4.0 - 6.4.3

缓解措施

受影响版本的用户应升级到相应的修复版本。

不需要其他缓解步骤。

如果您无法升级，那么您可以

1. 确保目标方法具有注解，而不是其参数化的祖先，或者
2. 发布一个 AuthorizationManagerBeforeMethodInterceptor，它可以正确地在参数化类型上查找注解（请参阅 Spring Security 问题日志中的示例）

致谢

此漏洞由 Vasil Ilchev 和 Neale Upstone 独立发现并负责任地报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C/CR:L/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:L/MI:N/MA:N&version=3.1