一、漏洞详情

Spring Boot是由Spring官方提供的开源Java应用开发框架，用于快速构建独立、生产级的Spring应用。

近日，监测到Spring Boot 认证绕过漏洞。当应用将需要身份认证的业务端点错误地映射到CloudFoundry Actuator路径下时，由于Actuator与Spring Security的路径处理机制存在冲突，可能导致访问控制失效。攻击者无需身份认证即可访问原本受保护的接口，从而获取敏感信息或执行未授权操作。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.7.0 <= Spring Boot < 2.7.32

3.3.0 <= Spring Boot < 3.3.18

3.4.0 <= Spring Boot < 3.4.15

3.5.0 <= Spring Boot < 3.5.12

4.0.0 <= Spring Boot < 4.0.4

三、修复建议

官方已发布修复补丁，以修复该漏洞。

Spring Boot >= 2.7.32

Spring Boot >= 3.3.18

Spring Boot >= 3.4.15

Spring Boot >= 3.5.12

Spring Boot >= 4.0.4