高危 | Spring Security RegexRequestMatcher 认证绕过漏洞
高危 | Spring Security RegexRequestMatcher 认证绕过漏洞
0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
VMware Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
2022年5月16日,VMware 发布安全更新,修复了一个存在于VMware Spring Security中的认证绕过漏洞。漏洞编号:CVE-2022-22978,漏洞威胁等级:高危,漏洞评分:8.2。
Spring Security 认证绕过漏洞
Spring Security 认证绕过漏洞 漏洞编号 CVE-2022-22978 漏洞类型 认证绕过 漏洞等级 高危(8.2) 公开状态 未知 在野利用 未知 漏洞描述 该漏洞是由于RegexRequestMatcher过滤不严造成的。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行认证绕过攻击,最终造成配置的权限验证失效。 |
0x03
漏洞等级
高危(8.2)
0x04
影响版本
5.5.0 <= Spring Security < 5.5.7
5.6.0 <= Spring Security < 5.6.4
Spring Security 更早的版本
0x05
修复建议
厂商已在 5.5.7+、5.6.4+版本修复该漏洞,用户请尽快更新至安全版本。下载链接如下:
https://spring.io/blog/2022/05/15/spring-security-5-7-0-5-6-4-5-5-7-released-fixes-cve-2022-22978-cve-2022-22976
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。