描述

Spring Security 结合 Spring Framework 5.0.5.RELEASE 版本在使用方法安全时存在一个授权绕过漏洞。未经授权的恶意用户可以获得对本应受限制方法的未经授权访问。

受影响的 Spring 产品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security (任何版本)
• 仅当应用程序同时使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全时才会受到影响。该漏洞存在于 Spring Framework 5.0.5.RELEASE 中，但除非与 Spring Security 的方法安全支持结合使用，否则不被视为 CVE。
• 该漏洞仅存在于 Spring Framework 5.0.5.RELEASE 版本中。如果应用程序不使用 Spring Framework 5.0.5.RELEASE，则不受影响。该漏洞不影响任何 Spring Framework 4.x 版本或 Spring Framework 的任何其他版本。

缓解措施

• 使用 Spring Framework 5.x 的用户应避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 会间接引入 Spring Framework 5.0.6.RELEASE+。但是，用户应确保其他依赖管理机制也已更新为使用 Spring Framework 5.0.6.RELEASE 或更新版本。
• 使用 Spring Framework 4.x (Spring Security 4.x 或 Spring Boot 1.x) 的用户不受影响，因此无需采取任何措施。
• 无需其他缓解措施。

致谢

该问题由 Spring Security 团队内部识别。

历史

2018-05-09：初始漏洞报告发布

• 2018-07-30：关于受影响版本的说明