中危 Spring Security鉴权规则错误配置风险(CVE-2023-34035)

CVE编号

CVE-2023-34035

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-07-19
漏洞描述
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。
在 Spring Security 受影响的版本中,由于 Spring Security 的授权规则会应用于整个应用程序上下文,当应用程序中包含多个servlet,并且其中一个为DispatcherServlet时 ,使用 requestMatchers(String) 方法错误地将非 Spring MVC 的端点添加到授权规则中,攻击者可以发送请求到这个的端点,从而绕过授权规则获得访问权限。漏洞利用需要代码具体写法,实际利用条件有限,风险较低。

影响范围
Spring Security 5.8.0 ~ 5.8.4
Spring Security 6.0.0 ~ 6.0.4
Spring Security 6.1.0 ~ 6.1.1

安全版本
Spring Security 5.8.5
Spring Security 6.0.5
Spring Security 6.1.2
解决建议
1、升级 Spring Security 至安全版本及其以上
2、将使用requestMatchers(String)指向的非 Spring MVC 端点,改为requestMatchers(new AntPathRequestMatcher(\"/endpoint\"))"
参考链接
https://spring.io/security/cve-2023-34035
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 vmware spring_security * From
(including)
5.8.0 		Up to
(excluding)
5.8.5
运行在以下环境
应用 vmware spring_security * From
(including)
6.0.0 		Up to
(excluding)
6.0.5
运行在以下环境
应用 vmware spring_security * From
(including)
6.1.0 		Up to
(excluding)
6.1.2
阿里云评分
5.5
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    越权影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-863 授权机制不正确
阿里云安全产品覆盖情况