• 分类3000+
  • 产品3000+
  • 服务3000+
  • 厂商3000+
  • 用户3000+
  • 数字化疑难问题
    大家一起去解决
教育数字化知识图谱

登录查询教育数字化知识信息

打开微信扫一扫

海贝达科技(北京)有限公司 教育数字化知识图谱

资讯

共计40265条
首页 资讯 关于Spring Security身份认证绕过漏洞提示

关于Spring Security身份认证绕过漏洞提示


一、背景介绍

近日,市委网信办技术支撑单位监测发现Spring Security身份认证绕过漏洞(CVE-2022-22978)。


1.1漏洞描述

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

当Spring Security中使用 RegexRequestMatcher 进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。


1.2 漏洞编号:CVE-2022-22978


1.3 漏洞等级:高危


二、修复建议

2.1 受影响版本

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

Spring Security 其他低版本同样受影响


2.2修复建议

目前,官方已发布可更新版本,建议用户及时更新:

Spring Security 5.5.x升级至5.5.7 :https://github.com/spring-projects/spring-security/releases/tag/5.5.7

Spring Security 5.6.x升级至5.6.4 :https://github.com/spring-projects/spring-security/releases/tag/5.6.4


海贝达科技(北京)有限公司 教育数字化知识图谱

微信公众号

咨询顾问

Copyright@2024 EduDigital123.COM 教育数字化知识图谱
京公网安备11011502038001 京ICP备2024042673号-3