描述

Spring Security 版本 5.4.0 到 5.4.3、5.3.0.RELEASE 到 5.3.8.RELEASE、5.2.0.RELEASE 到 5.2.8.RELEASE 以及更旧的不受支持版本，如果在单个请求中多次更改 SecurityContext，可能会无法保存。如果开发人员在单个请求中更改 SecurityContext 两次，并且满足以下两个条件，则 SecurityContext 可能无法保存到 HttpSession：首先，开发人员必须在 HttpResponse 提交之前更改 SecurityContext，然后 HttpResponse 必须在 SecurityContextPersistenceFilter 完成之前提交。然后，开发人员必须在 SecurityContextPersistenceFilter 完成之前再次尝试更改 SecurityContext。恶意用户无法导致此错误发生（必须在程序中编写）。但是，如果应用程序的意图是仅允许用户在应用程序的一小部分中以提升的权限运行，则可以利用此错误将这些权限扩展到应用程序的其余部分。

受影响的 Spring 产品和版本

• Spring Security
  • 5.4.0 到 5.4.3
  • 5.3.0.RELEASE 到 5.3.8.RELEASE
  • 5.2.0.RELEASE 到 5.2.8.RELEASE

缓解措施

受影响版本的用户应应用以下缓解措施：5.4.x 用户应升级到 5.4.4，5.3.x 用户应升级到 5.3.9.RELEASE，5.2.x 用户应升级到 5.2.9.RELEASE。旧版本应升级到受支持的分支。已修复此问题的版本包括

• Spring Security
  • 5.4.4
  • 5.3.9.RELEASE
  • 5.2.9.RELEASE

致谢

此问题由 CloudBees, Inc. 的 Daniel Beck、Jeff Thompson、Jesse Glick 和 Wadeck Follonier 发现并负责任地报告。

参考

• https://tanzu.vmware.com/security/cve-2021-22112

历史

• 2021-02-19：更正了已修复版本
• 2021-02-19：发布了初始漏洞报告。