注意更新 | Spring Security 发布安全更新,修复两个中高危漏洞
注意更新 | Spring Security 发布安全更新,修复两个中高危漏洞
0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
VMware Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
2022年5月15日,VMware发布安全更新,修复了VMware Spring Security中的两个安全漏洞,其中,1个高危漏洞,1个中危漏洞。漏洞详情如下:
1. Spring Security 身份认证绕过漏洞
Spring Security 身份认证绕过漏洞 漏洞编号 CVE-2022-22975 漏洞类型 访问控制绕过 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 在 Spring Security 版本 5.5.6 和 5.5.7 以及更早的不受支持的版本中,RegexRequestMatcher 很容易被错误配置,如果RegexRequestMatcher中使用的正则表达式带有".",应用程序的访问限制容易被绕过。 |
2. Spring Security 整数溢出漏洞
Spring Security 整数溢出漏洞 漏洞编号 CVE-2022-22976 漏洞类型 整数溢出 漏洞等级 中危 公开状态 未知 在野利用 未知 漏洞描述 Spring Security 5.5.7 之前的版本 5.5.x、5.6.4 之前的 5.6.x 以及更早的不受支持的版本包含整数溢出漏洞。当使用具有最大工作因子 (31) 的 BCrypt 类时,由于整数溢出错误,编码器不会执行任何加盐操作。 |
0x03
漏洞等级
中危、高危
0x04
影响版本
Spring Security 5.5.0 - 5.5.7
Spring Security 5.6.0 - 5.6.4
Spring Security 更早的不受支持的版本
0x05
修复建议
厂商已在 5.5.7、5.6.4、5.7.0版本修复上述漏洞,用户请尽快更新至安全版本。
参考链接:
https://docs.spring.io/spring-security/reference/getting-spring-security.html
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x06
时间轴
2022-05-15
VMware 发布安全公告,修复Spring Security 中的两个漏洞。
2022-05-17
360漏洞云发布安全动态。