描述

Spring Security 可能无法正确地定位参数化类型或方法上的方法安全注解。这可能导致授权绕过。

如果满足以下条件，您的应用程序可能会受到影响：

1. 您正在使用 @EnableMethodSecurity，并且
2. 您在参数化超类、接口或重写方法上有一个方法安全注解，但目标方法上没有注解

在这种情况下，目标方法可能能够在没有正确授权的情况下被调用。

如果您符合以下情况，则不受影响：

1. 您未使用 @EnableMethodSecurity，或者
2. 您在参数化类型或方法上没有方法安全注解，或者
3. 所有方法安全注解都附加到目标方法

受影响的 Spring 产品和版本

Spring Security

• 6.4.0 - 6.4.3

缓解措施

受影响版本的用户应升级到相应的修复版本。

无需其他缓解措施。

如果您无法升级，您可以选择以下任一方式：

1. 确保目标方法具有注解，而不是其参数化祖先，或者
2. 发布一个 AuthorizationManagerBeforeMethodInterceptor，它能够正确查找参数化类型上的注解（请参阅 Spring Security 问题日志中的示例）

致谢

此漏洞由 Vasil Ilchev 和 Neale Upstone 独立发现并负责任地报告。

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C/CR:L/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:L/MI:N/MA:N&version=3.1