Spring Security身份认证绕过漏洞风险通告

近日，奇安信CERT监测到Spring Security 身份认证绕过漏洞 (CVE-2022-22978) 细节及PoC公开。当Spring Security中使用RegexRequestMatcher进行权限配置，且规则中使用带点号的正则表达式时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。目前，奇安信CERT已复现此漏洞，同时鉴于已有细节及PoC公开，建议客户尽快做好自查，及时更新至最新版本。

漏洞名称

Spring Security身份认证绕过漏洞

公开时间

2022-05-17

更新时间

2022-05-24

CVE编号

CVE-2022-22978

其他编号

QVD-2022-7329

威胁类型

身份认证绕过

技术类型

授权不当

厂商

VMware

产品

Spring Security

风险等级

奇安信CERT****风险评级

风险等级

高危

蓝色（一般事件）

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

未知

未知

已公开

漏洞描述

当Spring Security中使用RegexRequestMatcher进行权限配置，且规则中使用带点号(.)的正则表达式时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

影响版本

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

Spring Security 其他低版本同样受影响

不受影响版本

Spring Security 5.5.x >= 5.5.7

Spring Security 5.6.x >= 5.6.4

其他受影响组件

使用Spring Security作为安全访问控制解决方案的项目

奇安信CERT已成功复现Spring Security 身份认证绕过漏洞 (CVE-2022-22978)，复现截图如下:

威胁评估

漏洞名称

Spring Security 身份认证绕过漏洞

CVE编号

CVE-2022-22978

其他编号

QVD-2022-7329

CVSS 3.1评级

高危

CVSS 3.1分数

8.2

CVSS向量

访问途径（AV**）**

攻击复杂度（AC**）**

网络

低

所需权限（PR**）**

用户交互（UI**）**

不需要

不需要

影响范围（S**）**

机密性影响（C**）**

不变

高

完整性影响（I**）**

可用性影响（A**）**

低

无

危害描述

未经授权的远程攻击者可利用此漏洞构造数据包绕过身份认证，导致配置的权限验证失效。

处置建议

目前，官方已发布可更新版本，建议用户及时更新：

Spring Security 5.5.x 升级至 5.5.7 ：

https://github.com/spring-projects/spring-security/releases/tag/5.5.7

Spring Security 5.6.x 升级至 5.6.4 ：

https://github.com/spring-projects/spring-security/releases/tag/5.6.4

先自我介绍一下，小编13年上师交大毕业，曾经在小公司待过，去过华为OPPO等大厂，18年进入阿里，直到现在。深知大多数初中级java工程师，想要升技能，往往是需要自己摸索成长或是报班学习，但对于培训机构动则近万元的学费，着实压力不小。自己不成体系的自学效率很低又漫长，而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家，初衷也很简单，就是希望帮助到想自学又不知道该从何学起的朋友，同时减轻大家的负担。添加下方名片，即可获取全套学习资料哦