描述

Spring Security 4.2.x 至 4.2.12 版本以及更旧的无支持版本使用 PlaintextPasswordEncoder 支持纯文本密码。如果使用受影响的 Spring Security 版本的应用程序正在使用 PlaintextPasswordEncoder，并且用户的编码密码为空，则恶意用户（或攻击者）可以使用“null”作为密码进行身份验证。

受影响的 Spring 产品和版本

• Spring Security 4.2 至 4.2.12
• 较旧的无支持版本也受影响
• 请注意，Spring Security 5+ 不受此漏洞的影响。

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 4.2.x 用户应升级到 4.2.13
• 较旧的版本应升级到受支持的分支

无需其他缓解步骤。

致谢

此问题由 mytaxi 的 Tim Büthe 和 Daniel Neagaru 识别并负责任地报告。

历史记录

2019-06-19：发布初始漏洞报告