中危 Spring Security isFullyAuthenticated 权限绕过漏洞(CVE-2024-22234)
CVE编号
CVE-2024-22234利用情况
暂无补丁情况
官方补丁披露时间
2024-02-19漏洞描述
在Spring Security 6.1.7之前的6.1.x版本和6.2.2之前的6.2.x版本中,代码中若直接使用AuthenticationTrustResolver.isFullyAuthenticated(Authentication)方法时,则可能受到该漏洞影响。 实际具体是否能利用该漏洞需要依赖代码环境以及相关配置。 影响版本 6.1.0 <= Spring Security <= 6.1.6 6.2.0 <= Spring Security <= 6.2.1 安全版本 Spring Security 6.1.7 Spring Security 6.2.2解决建议
6.1.x用户应升级到6.1.7。6.2.x用户应升级到6.2.2。
参考链接 |
|
|---|---|
| https://spring.io/security/cve-2024-22234 |
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-285 | 授权机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论