关于Spring Security身份认证绕过漏洞(CVE-2022-31692)的预警提示

发布时间:2022-11-04

作者: 图档网信办公室

浏览次数:186

一、漏洞详情

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

Spring Security身份认证绕过漏洞(CVE-2022-31692)：受影响的Spring Security版本在某些特定情况下，恶意攻击者可通过使用FORWARD或INCLUDE进行转发，从而绕过授权规则，导致身份认证绕过。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

5.7.0 <= Spring Security <= 5.7.4

5.6.0 <= Spring Security <= 5.6.8

三、修复建议

目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://github.com/spring-projects/spring-security/releases