安全公告/【CVE-2024-22257】

基本信息

漏洞名称:Spring Security 身份验证绕过漏洞(CVE-2024-22257)
受影响操作系统:Asianux Server 3 (Quartet SP4)
危险等级:高危
影响源码包:Spring Security
CVSS评分:8.2
发现日期:2024-03-29
修复版本:

漏洞描述

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 Spring Security存在安全漏洞,在处理Authentication参数时没有对null值进行检查。当应用程序直接使用AuthenticatedVoter#vote方法,传入null作为认证参数时会错误地返回true值。攻击者可利用该漏洞绕过身份验证,进行提权或窃取系统敏感信息。

修复方式

将 Spring Security 升级到 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3 及以上版本,下载地址:https://github.com/spring-projects/spring-security/releases

漏洞判定

版本比对检测原理:检查当前系统中spring-security-core版本是否在漏洞版本范围内|版本比对检测结果:- spring-security-core
  当前安装版本:3.0.5.RELEASE
  应用相关信息:
  - 进程PID:29229
  - 应用路径:/root/htxt/apache-tomcat-6.0.35/webapps/cas/WEB-INF/lib/spring-security-core-3.0.5.RELEASE.jar
该主机存在此漏洞

补丁

参考

CVE-2024-22257,,,