注意更新 | Spring Security 發布安全更新,修復兩個中高危漏洞
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
VMware Spring Security是美國威睿(VMware )公司的一套為基于Spring的應用程序提供說明性安全保護的安全框架。
2022年5月15日,VMware發布安全更新,修復了VMware Spring Security中的兩個安全漏洞,其中,1個高危漏洞,1個中危漏洞。漏洞詳情如下:
1. Spring Security 身份認證繞過漏洞
Spring Security 身份認證繞過漏洞 漏洞編號 CVE-2022-22975 漏洞類型 訪問控制繞過 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 在 Spring Security 版本 5.5.6 和 5.5.7 以及更早的不受支持的版本中,RegexRequestMatcher 很容易被錯誤配置,如果RegexRequestMatcher中使用的正則表達式帶有".",應用程序的訪問限制容易被繞過。 |
2. Spring Security 整數溢出漏洞
Spring Security 整數溢出漏洞 漏洞編號 CVE-2022-22976 漏洞類型 整數溢出 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 Spring Security 5.5.7 之前的版本 5.5.x、5.6.4 之前的 5.6.x 以及更早的不受支持的版本包含整數溢出漏洞。當使用具有最大工作因子 (31) 的 BCrypt 類時,由于整數溢出錯誤,編碼器不會執行任何加鹽操作。 |
0x03
漏洞等級
中危、高危
0x04
影響版本
Spring Security 5.5.0 - 5.5.7
Spring Security 5.6.0 - 5.6.4
Spring Security 更早的不受支持的版本
0x05
修復建議
廠商已在 5.5.7、5.6.4、5.7.0版本修復上述漏洞,用戶請盡快更新至安全版本。
參考鏈接:
https://docs.spring.io/spring-security/reference/getting-spring-security.html
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x06
時間軸
2022-05-15
VMware 發布安全公告,修復Spring Security 中的兩個漏洞。
2022-05-17
360漏洞云發布安全動態。
