服务公告

全部公告 > 安全公告 > Spring Security 身份认证绕过漏洞 (CVE-2022-22978)

Spring Security 身份认证绕过漏洞 (CVE-2022-22978)

2022-05-25

一、概要

近日,华为云关注到vmware官方发布安全公告,披露在Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRequestMatcher正则表达式配置权限的特性,当在Spring Security中使用RegexRequestMatcher且规则中包含带点号的正则表达式时,攻击者可以通过构造恶意数据包绕过身份认证。目前漏洞细节和POC已公开,风险高。

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。华为云提醒使用Spring Security的用户尽快安排自检并做好安全加固。

参考链接:CVE-2022-22978: Authorization Bypass in RegexRequestMatcher

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

其他Spring Security低版本均有可能受影响

安全版本:

Spring Security 5.5.x >= 5.5.7

Spring Security 5.6.x >= 5.6.4

四、漏洞处置

目前官方已发布安全版本,建议受影响的用户升级Spring Security至安全版本:

https://github.com/spring-projects/spring-security/tags

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则

注:修复漏洞前请将资料备份,并进行充分测试。