阿里云漏洞库

漏洞描述

Spring Security 是一套为基于 Spring 的应用程序提供说明性安全保护的安全框架。

在受影响版本中，由于提供的logout功能在序列化session中没有完全清理安全上下文，导致用户退出登录后仍然保持会话身份。

以下任一场景将受到影响：

1、应用中通过将空的SecurityContext写入HttpSessionSecurityContextRepository手动实现logout

2、应用中使用SecurityContextHolderFilter或requireExplicitSave(true)且在序列化session的场景中使用了Spring Security提供的logout功能（如Spring Session），同时配置了invalidateHttpSession(false)

3、应用中自定义了不依赖HttpSession的SecurityContextRepository

不受影响的场景包括：

1、代码中使用SecurityContextPersistenceFilter或requireExplicitSave(false)

2、session存储在内存中

3、未通过写入空的SecurityContext 进 HttpSessionSecurityContextRepository来手动logout

影响范围：

org.springframework.security:spring-security-web@[6.0.0, 6.0.3)

org.springframework.security:spring-security-web@[5.8.0, 5.8.3)

org.springframework.security:spring-security-web@[5.7.0, 5.7.8)

解决建议

将组件 org.springframework.security:spring-security-web 升级至 6.0.3 及以上版本

将组件 org.springframework.security:spring-security-web 升级至 5.8.3 及以上版本

将组件 org.springframework.security:spring-security-web 升级至 5.7.8 及以上版本

参考链接
https://security.netapp.com/advisory/ntap-20230526-0002/
https://spring.io/security/cve-2023-20862
https://www.oscs1024.com/hd/MPS-2022-62834

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vmware	spring_security	*	From (including) 5.7.0	Up to (excluding) 5.7.8
	运行在以下环境
	应用	vmware	spring_security	*	From (including) 5.8.0	Up to (excluding) 5.8.3
	运行在以下环境
	应用	vmware	spring_security	*	From (including) 6.0.0	Up to (excluding) 6.0.3

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-459	清理环节不完整

中危 Spring Security Logout实现不当（CVE-2023-20862）

漏洞描述

解决建议

参考链接

受影响软件情况