描述

在 Spring Security 的 5.7.x 版本（5.7.8 之前）、5.8.x 版本（5.8.3 之前）和 6.0.x 版本（6.0.3 之前）中，如果使用序列化版本，注销支持无法正确清除安全上下文。此外，无法将空的安全性上下文显式保存到 HttpSessionSecurityContextRepository。此漏洞可能导致用户在执行注销后仍然保持认证状态。

具体来说，在以下任何一种情况为真时，应用程序都是易受攻击的：

• 您正在使用 SecurityContextHolderFilter 或 requireExplicitSave(true)，并且您正在使用 Spring Security 的注销支持以及序列化会话（例如 Spring Session）和 invalidateHttpSession(false)。
• 您正在通过将空的 SecurityContext 保存到 HttpSessionSecurityContextRepository 来手动注销用户。
• 您有一个不依赖于 HttpSession 的自定义 SecurityContextRepository。

在以下任何一种情况为真时，应用程序不易受攻击：

• 您仍然使用已弃用的 SecurityContextPersistenceFilter 或 requireExplicitSave(false)。
• 您正在使用 Spring Security 的注销支持以及内存会话。
• 您没有将空的 SecurityContext 保存到 HttpSessionSecurityContextRepository。

受影响的 Spring 产品和版本

Spring Security

• 6.0.0 到 6.0.2
• 5.8.0 到 5.8.2
• 5.7.0 到 5.7.7

缓解措施

受影响版本的用户应采取以下缓解措施。5.7.x 用户应升级到 5.7.8。5.8.x 用户应升级到 5.8.3。6.0.x 用户应升级到 6.0.3。无需其他步骤。已修复此问题的版本包括：

Spring Security

• 5.7.8
• 5.8.3
• 6.0.3

致谢

此问题由保时捷信息技术公司的 Daniel Furtlehner 发现并负责任地报告。

参考资料

• https://docs.springjava.cn/spring-security/reference/5.8/migration/servlet/session-management.html#_require_explicit_saving_of_securitycontextrepository
• https://docs.springjava.cn/spring-security/reference/servlet/authentication/session-management.html#store-authentication-manually
• https://docs.springjava.cn/spring-security/reference/5.8.3/servlet/authentication/session-management.html#properly-clearing-authentication