Spring Security 静态资源权限绕过漏洞 || 安全通告
免责声明
在网络安全领域,技术文章应谨慎使用,遵守法律法规,严禁非法网络活动。未经授权,不得利用文中信息进行入侵。使用本文信息造成的任何后果,由使用者自行承担,希客安全及作者不负责。提供的工具仅限学习使用,严禁他用。
CVE-2024-38821
一、漏洞描述
二、影响版本
5.7.0 <= Spring Security <= 5.7.12
5.8.0 <= Spring Security <= 5.8.14
6.0.0 <= Spring Security <= 6.0.12
6.1.0 <= Spring Security <= 6.1.10
6.2.0 <= Spring Security <= 6.2.6
6.3.0 <= Spring Security <= 6.3.3
较旧的、不受支持的版本也受到影响。
三、修复方案
目前官方已发布安全更新,请及时升级至最新版本:
Spring Security 5.7.* >= 5.7.13(仅限企业支持)
Spring Security 5.8.* >= 5.8.15(仅限企业支持)
Spring Security 6.0.* >= 6.0.13(仅限企业支持)
Spring Security 6.1.* >= 6.1.11(仅限企业支持)
Spring Security 6.2.* >= 6.2.7
Spring Security 6.3.* >= 6.3.4
官方下载地址:
https://github.com/spring-projects/spring-security/tags
四、参考文献
https://spring.io/security/cve-2024-38821
稀客原创,如有转载,请声明原文来源!!!