主要观点总结
这篇文章介绍了Spring Security静态资源权限绕过漏洞,漏洞编号为QVD-2024-43514和CVE-2024-38821。该漏洞影响使用WebFlux应用程序和Spring Security的静态资源支持的Spring Security版本,包括5.7.0至5.7.12、5.8.0至5.8.14、6.0.0至6.0.12、6.1.0至6.1.10以及6.2.0至6.2.6和6.3.0至6.3.3。未经授权的攻击者可能通过此漏洞绕过身份认证机制,造成敏感数据泄露等后果。目前,该漏洞的技术细节已公开,建议客户尽快进行自查和防护,并升级到官方已发布的最新版本。
关键观点总结
关键观点1: 漏洞概述和影响量级
文章介绍了Spring Security静态资源权限绕过漏洞,这是一个高危漏洞,影响量级为万级,CVSS 3.1分数为9.1。该漏洞主要影响使用Spring Security授权规则的Spring WebFlux应用程序。
关键观点2: 漏洞描述
由于解析差异,攻击者可能绕过Spring Security的授权规则,未经授权访问静态资源,导致敏感数据泄露。
关键观点3: 影响范围
漏洞影响多个版本的Spring Security,包括较新的和较旧的不受支持的版本。
关键观点4: 复现情况和处置建议
奇安信CERT已成功复现该漏洞,并提供了安全更新的建议,包括升级到官方已发布的最新版本。同时还提供了官方下载地址和参考资料。
文章预览
● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 静态资源权限绕过漏洞 漏洞编号 QVD-2024-43514,CVE-2024-38821 公开时间 2024-10-25 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.1 威胁类型 身份认证绕过 利用可能性 高 POC状态 已公开 在野利用状态 未发现 EXP状态 已公开 技术细节状态 已公开 利用条件: 使用WebFlux 应用程序; 使用 Spring security的静态资源支持。 0 1 漏洞详情 > > > > 影响组件 Spring Security 是一个功能强大且高度可定制的 Java 安全框架,用于保护基于 Spring 的应用程序。它是 Spring 生态系统的一部分,提供了全面的安全服务,包括认证、授权、防止常见的安全攻击等。 > > > > 漏洞描述 近日,奇安信CERT监测到官方修复 Spring Security 静态资源权限绕过漏洞(CVE-2024-38821) ,Spring WebFlux应用程序在静态资源上使用Spring Securit
………………………………
