安全公告/【CVE-2024-22257】

基本信息

漏洞名称:Spring Security 身份验证绕过漏洞(CVE-2024-22257)

受影响操作系统:Asianux Server 4 (Hiranya SP4)

危险等级:高危

影响源码包:Spring Security

CVSS评分:8.2

发现日期:2024-04-11

漏洞描述

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 Spring Security存在安全漏洞，在处理Authentication参数时没有对null值进行检查。当应用程序直接使用AuthenticatedVoter#vote方法，传入null作为认证参数时会错误地返回true值。攻击者可利用该漏洞绕过身份验证，进行提权或窃取系统敏感信息。

修复方式

将 Spring Security 升级到 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3 及以上版本，下载地址：https://github.com/spring-projects/spring-security/releases

漏洞判定

版本比对检测原理：检查当前系统中spring-security-core版本是否在漏洞版本范围内|版本比对检测结果：- spring-security-core
  当前安装版本：5.5.3
  应用相关信息：
  - 进程PID：9141
  - 应用路径：/hadoop/yxfy/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/spring-security-core-5.5.3.jar
该主机存在此漏洞

参考

CVE-2024-22257，，，

安全公告/【CVE-2024-22257】

基本信息

漏洞描述

修复方式

漏洞判定

补丁

参考