服务公告

全部公告 > 安全公告 > Spring Security 身份认证绕过漏洞 (CVE-2022-22978)

Spring Security 身份认证绕过漏洞 (CVE-2022-22978)

2022-05-25

一、概要

近日，华为云关注到vmware官方发布安全公告，披露在Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRequestMatcher正则表达式配置权限的特性，当在Spring Security中使用RegexRequestMatcher且规则中包含带点号的正则表达式时，攻击者可以通过构造恶意数据包绕过身份认证。目前漏洞细节和POC已公开，风险高。

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。华为云提醒使用Spring Security的用户尽快安排自检并做好安全加固。

参考链接：CVE-2022-22978: Authorization Bypass in RegexRequestMatcher

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

其他Spring Security低版本均有可能受影响

安全版本：

Spring Security 5.5.x >= 5.5.7

Spring Security 5.6.x >= 5.6.4

四、漏洞处置

目前官方已发布安全版本，建议受影响的用户升级Spring Security至安全版本：

https://github.com/spring-projects/spring-security/tags

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

服务公告

Spring Security 身份认证绕过漏洞 (CVE-2022-22978)

2022-05-25

7*24

备案

专业服务

退订

建议反馈

售前咨询热线