一、漏洞详情
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security身份认证绕过漏洞(CVE-2022-31692):受影响的Spring Security版本在某些特定情况下,恶意攻击者可通过使用FORWARD或INCLUDE进行转发,从而绕过授权规则,导致身份认证绕过。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
5.7.0 <= Spring Security <= 5.7.4
5.6.0 <= Spring Security <= 5.6.8
三、修复建议
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://github.com/spring-projects/spring-security/releases