安全公告/【CVE-2022-22978】

基本信息

漏洞描述

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 Spring Security存在身份认证绕过漏洞 ，当Spring Security中使用RegexRequestMatcher进行权限配置，且规则中使用带点号的正则表达式时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

修复方式

将 Spring Security 升级到 5.5.7、5.6.4 及以上版本，下载地址：https://github.com/spring-projects/spring-security/releases

漏洞判定

版本比对检测原理：检查当前系统中spring-security-web版本是否在漏洞版本范围内|版本比对检测结果：- spring-security-web
  当前安装版本：5.5.3
  应用相关信息：
  - 进程PID：9141
  - 应用路径：/hadoop/yxfy/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/spring-security-web-5.5.3.jar
该主机存在此漏洞

参考

CVE-2022-22978，，CWE-863，CWE-285，CNNVD-202205-3584