<ins id="tnc6t"></ins>
<ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
  • <input id="tnc6t"></input>

      <button id="tnc6t"></button>

        1. Spring Security身份認證繞過漏洞 (CVE-2022-22978) 安全風險通告

          近日,奇安信CERT監測到Spring Security 身份認證繞過漏洞 (CVE-2022-22978) 細節及PoC公開。當Spring Security中使用RegexRequestMatcher進行權限配置,且規則中使用帶點號的正則表達式時,未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效。目前,奇安信CERT已復現此漏洞,同時鑒于已有細節及PoC公開,建議客戶盡快做好自查,及時更新至最新版本。


          漏洞名稱
          Spring Security 身份認證繞過漏洞
          開時
          2022-05-17
          更新時間
          2022-05-24
          CVE編號
          CVE-2022-22978
          其他編號
          QVD-2022-7329
          威脅類型
          身份認證繞過
          技術類型
          授權不當
          廠商
          VMware
          產品
          Spring Security
                             風險等級
          奇安信CERT風險評級
          風險等級
          高危
          藍色(一般事件)
                              現時威脅狀態
          POC狀態
          EXP狀態
          在野利用狀態
          技術細節狀態
          已公開
          未知
          未知
          已公開
          漏洞描述
          Spring   Security中使用RegexRequestMatcher進行權限配置,且規則中使用帶點號(.)的正則表達式時,未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效。
          影響版本
          Spring Security 5.5.x < 5.5.7
          Spring Security 5.6.x < 5.6.4
          Spring Security 其他低版本同樣受影響
           
          不受影響版本
          Spring Security 5.5.x >= 5.5.7
          Spring Security 5.6.x >= 5.6.4
           
          其他受影響組件
          使用Spring   Security作為安全訪問控制解決方案的項目


           
          奇安信CERT已成功復現Spring Security 身份認證繞過漏洞 (CVE-2022-22978),復現截圖如下: 



          威脅評估


          漏洞名稱
          Spring Security 身份認證繞過漏洞
          CVE編號
          CVE-2022-22978
          其他編號
          QVD-2022-7329
          CVSS 3.1評級
          高危
          CVSS 3.1分數
          8.2
           
           
           
          CVSS向量
          訪問途徑(AV)
          攻擊復雜度(AC)
          網絡
          所需權限(PR)
          用戶交互(UI)
          不需要
          不需要
          影響范圍(S)
          機密性影響(C)
          不變
          完整性影響(I)
          可用性影響(A)
          危害描述
          未經授權的遠程攻擊者可利用此漏洞構造數據包繞過身份認證,導致配置的權限驗證失效。
















          江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          

          <ins id="tnc6t"></ins>
          <ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
        2. <input id="tnc6t"></input>

            <button id="tnc6t"></button>

              1. {关键词}