描述

Spring Security 的 4.2.x 版本（直至 4.2.12）及更早的不受支持的版本通过 PlaintextPasswordEncoder 支持明文密码。如果使用受影响版本 Spring Security 的应用程序正在使用 PlaintextPasswordEncoder，并且用户拥有一个空的编码密码，那么恶意用户（或攻击者）可以使用“null”作为密码进行身份验证。

受影响的 Spring 产品和版本

• Spring Security 4.2 至 4.2.12
• 更旧的不受支持的版本也受到影响
• 请注意，Spring Security 5+ 版本不受此漏洞影响。

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.2.x 用户应升级到 4.2.13
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

致谢

此问题由 mytaxi 的 Tim Büthe 和 Daniel Neagaru 发现并负责任地报告。

历史

2019-06-19：首次发布漏洞报告