安全公告/【CVE-2024-22257】
基本信息
漏洞名称:Spring Security 身份验证绕过漏洞(CVE-2024-22257)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Spring Security
CVSS评分:8.2
发现日期:2024-03-29
漏洞描述
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 Spring Security存在安全漏洞,在处理Authentication参数时没有对null值进行检查。当应用程序直接使用AuthenticatedVoter#vote方法,传入null作为认证参数时会错误地返回true值。攻击者可利用该漏洞绕过身份验证,进行提权或窃取系统敏感信息。
修复方式
将 Spring Security 升级到 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3 及以上版本,下载地址:https://github.com/spring-projects/spring-security/releases
漏洞判定
版本比对检测原理:检查当前系统中spring-security-core版本是否在漏洞版本范围内|版本比对检测结果:- spring-security-core 当前安装版本:5.5.8 应用相关信息: - 进程PID:20474 - 应用路径:/home/ylgh/tools/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/spring-security-core-5.5.8.jar 该主机存在此漏洞
参考
CVE-2024-22257,,,