描述

Spring Security 切面可能无法正确找到私有方法上的方法安全注解。这可能导致授权绕过。

如果满足以下条件，您的应用程序可能会受到影响：

1. 如果您正在使用 @EnableMethodSecurity(mode=ASPECTJ) 和 spring-security-aspects，并且
2. 您在私有方法上使用了 Spring Security 方法注解

在这种情况下，目标方法可能能够在没有适当授权的情况下被调用。

在以下情况下，您不受影响：

1. 您没有使用 @EnableMethodSecurity(mode=ASPECTJ) 或 spring-security-aspects，或者
2. 您没有带有 Spring Security 注解的私有方法

受影响的 Spring 产品和版本

Spring Security

• 6.4.0 - 6.4.5

缓解措施

受影响版本的用户应升级到相应的修复版本。

无需其他缓解措施。

致谢

此漏洞由 Vitalii 独立发现并负责任地报告。

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:X/RL:O/RC:C/CR:L/IR:L/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1