领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2023-20866: Spring Session 中会话 ID 可能会被记录到标准输出流
描述
在 Spring Session 3.0.0 版本中,会话 ID 可能会被记录到标准输出流中。此漏洞会将敏感信息暴露给有权访问应用程序日志的人员,并可能被用于会话劫持。
具体来说,当满足以下条件时,应用程序存在漏洞:
- 您正在使用 HeaderHttpSessionIdResolver
在以下任何一种情况为真时,应用程序不易受攻击:
- 您没有使用 HeaderHttpSessionIdResolver
受影响的 Spring 产品和版本
Spring Session 3.0.0
缓解措施
受影响版本的用户应升级到 Spring Session 3.0.1。已修复此问题的版本包括:
- Spring Session 3.0.1
致谢
此问题由 DATEV eG 的 Benedikt Halser 发现并负责任地报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略