Spring Security 建议

此页面列出了 Spring 安全咨询。

CVE-2025-22233: Spring Framework DataBinder 大小写敏感匹配异常（第二次更新）

低 | 2025年5月15日 | CVE-2025-22233

描述

CVE-2024-38820 确保了为配置的 disallowedFields 模式和请求参数名称进行与区域设置无关的、小写转换。然而，在某些情况下仍然可能绕过 disallowedFields 检查。

受影响的…

CVE-2025-22235: Spring Boot EndpointRequest.to() 在 Actuator 端点未暴露时创建错误的匹配器

中等 | 2025年4月24日 | CVE-2025-22235

描述

如果为其创建 EndpointRequest 的 Actuator 端点被禁用或未暴露，EndpointRequest.to() 会为 null/** 创建一个匹配器。

如果满足以下所有条件，您的应用程序可能会受到影响

您使用 Spring Security
EndpointRequest.to() 已在 Spring Security 链配置中使用
EndpointRequest 引用的端点被禁用或未通过 Web 暴露
您的应用程序处理对 /null 的请求，并且此路径需要保护

CVE-2025-22234: Spring Security BCryptPasswordEncoder 最大密码长度破坏了时序攻击缓解

中等 | 2025年4月22日 | CVE-2025-22234

描述

CVE-2025-22228 中应用的修复无意中破坏了 DaoAuthenticationProvider 中实现的时序攻击缓解。

受影响的 Spring 产品和版本

Spring Security

仅限 5.7.16
仅限 5.8.18
仅限 6.0.16
仅限 6.1.14
仅限 6.2.10
仅限 6.3.8
仅限 6.4.4
较旧的、不受支持的版本也受到影响

CVE-2025-22232: Spring Cloud Config Server 可能不使用客户端发送的 Vault 令牌

中等 | 2025年4月7日 | CVE-2025-22232

描述

Spring Cloud Config Server 在向 Vault 发出请求时，可能不使用客户端通过 X-CONFIG-TOKEN 头发送的 Vault 令牌。

如果满足以下条件，您的应用程序可能会受到影响：

您的 Spring Cloud Config Server 的 classpath 中有 Spring Vault，并且
您正在使用 X-CONFIG-TOKEN 头将 Vault 令牌发送到 Spring Cloud Config Server，以便 Config Server 在向 Vault 发出请求时使用，并且
您正在使用默认的 Spring Vault SessionManager 实现 LifecycleAwareSessionManager 或持久化 Vault 令牌的 SessionManager 实现，例如 SimpleSessionManager…

CVE-2025-22223: Spring Security 对参数化类型上的方法安全注解的授权绕过

中等 | 2025年3月19日 | CVE-2025-22223

描述

Spring Security 可能无法正确识别参数化类型或方法上的方法安全注解。这可能导致授权绕过。

如果满足以下条件，您的应用程序可能会受到影响：

您正在使用 @EnableMethodSecurity，并且
您在参数化超类、接口或被覆盖方法上有一个方法安全注解，但在目标方法上没有注解

CVE-2025-22228: Spring Security BCryptPasswordEncoder 未强制执行最大密码长度

高 | 2025年3月19日 | CVE-2025-22228

描述

只要前 72 个字符相同，BCryptPasswordEncoder.matches(CharSequence,String) 会错误地对超过 72 个字符的密码返回 true。

受影响的 Spring 产品和版本

Spring Security

5.7.0 - 5.7.15
5.8.0 - 5.8.17
6.0.0 - 6.0.15
6.1.0 - 6.1.13
6.2.0 - 6.2.9
6.3.0 - 6.3.7
6.4.0 - 6.4.3
较旧的、不受支持的版本也受到影响

CVE-2024-38827: Spring Security 对大小写敏感比较的授权绕过

中等 | 2024年11月19日 | CVE-2024-38827

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些与 Locale 相关的异常，这可能导致授权规则无法正常工作。

与 CVE-2024-38820 相关

受影响的 Spring 产品和版本

Spring…

CVE-2024-38829: Spring LDAP Spring LDAP 对大小写敏感比较的敏感数据暴露

低 | 2024年11月19日 | CVE-2024-38829

描述

String.toLowerCase() 和 String.toUpperCase() 的使用存在一些与 Locale 相关的异常，这可能导致查询到非预期的列

与 CVE-2024-38820 相关

受影响的 Spring 产品和版本

Spring LDAP

2.4.0 - 2.4.3
3.0.0 - 3.0.9
3.1.0 - 3.1.7
3.2.0 - 3.2.7
较旧的、不受支持的版本也受到影响

CVE-2024-38828: 通过带有 byte[] 参数的 Spring MVC 控制器方法进行 DoS 攻击

中等 | 2024年11月15日 | CVE-2024-38828

描述

带有 @RequestBody byte[] 方法参数的 Spring MVC 控制器方法容易受到 DoS 攻击。

受影响的 Spring 产品和版本

Spring Framework

5.3.0 - 5.3.41
较旧的、不受支持的版本也受到影响

缓解措施

用户…

WebFlux 应用程序中静态资源的授权绕过

危急 | 2024年10月22日 | CVE-2024-38821

描述

对静态资源应用了 Spring Security 授权规则的 Spring WebFlux 应用程序在某些情况下可能被绕过。

要影响应用程序，以下所有条件都必须为真

它必须是一个 WebFlux 应用程序
它必须使用 Spring 的静态资源支持
它必须对静态资源支持应用了非 permit-all 的授权规则

1
2
3
4
5
6
7
8
9
…
17

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞，请参阅安全策略

© . This site is unofficial and not affiliated with VMware.