描述

Spring Security 5.3.x 早于 5.3.2 版本，5.2.x 早于 5.2.4 版本，5.1.x 早于 5.1.10 版本，5.0.x 早于 5.0.16 版本以及 4.2.x 早于 4.2.16 版本在查询文本加密器的实现中使用了固定空初始向量的 CBC 模式。具有访问使用此类加密器加密的数据权限的恶意用户可能能够通过字典攻击推导出未加密的值。

受影响的 Spring 产品和版本

Spring Security
- 5.3.x 早于 5.3.2
- 5.2.x 早于 5.2.4
- 5.1.x 早于 5.1.10
- 5.0.x 早于 5.0.16
- 4.2.x 早于 4.2.16

缓解措施

所有用户都应停止使用 Encryptors#queryableText(CharSequence, CharSequence) ，并依赖其数据存储来查询加密数据。用户应执行以下升级，因为此方法在较新版本的 Spring Security 中已被弃用。旧版本应升级到受支持的分支。已修复此问题的版本包括