【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风...

主要观点总结

这篇文章介绍了Spring Security静态资源权限绕过漏洞，漏洞编号为QVD-2024-43514和CVE-2024-38821。该漏洞影响使用WebFlux应用程序和Spring Security的静态资源支持的Spring Security版本，包括5.7.0至5.7.12、5.8.0至5.8.14、6.0.0至6.0.12、6.1.0至6.1.10以及6.2.0至6.2.6和6.3.0至6.3.3。未经授权的攻击者可能通过此漏洞绕过身份认证机制，造成敏感数据泄露等后果。目前，该漏洞的技术细节已公开，建议客户尽快进行自查和防护，并升级到官方已发布的最新版本。

关键观点总结

关键观点1: 漏洞概述和影响量级

文章介绍了Spring Security静态资源权限绕过漏洞，这是一个高危漏洞，影响量级为万级，CVSS 3.1分数为9.1。该漏洞主要影响使用Spring Security授权规则的Spring WebFlux应用程序。

关键观点2: 漏洞描述

由于解析差异，攻击者可能绕过Spring Security的授权规则，未经授权访问静态资源，导致敏感数据泄露。

关键观点3: 影响范围

漏洞影响多个版本的Spring Security，包括较新的和较旧的不受支持的版本。

关键观点4: 复现情况和处置建议

奇安信CERT已成功复现该漏洞，并提供了安全更新的建议，包括升级到官方已发布的最新版本。同时还提供了官方下载地址和参考资料。

正文

请到「今天看啥」查看全文

未发现

EXP状态

已公开

技术细节状态

已公开

利用条件：

使用WebFlux 应用程序；

使用 Spring security的静态资源支持。

0 1

漏洞详情

> > > >

影响组件

Spring Security 是一个功能强大且高度可定制的 Java 安全框架，用于保护基于 Spring 的应用程序。它是 Spring 生态系统的一部分，提供了全面的安全服务，包括认证、授权、防止常见的安全攻击等。

> > > >

请到「今天看啥」查看全文