【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
2024-11-1 01:54:0 Author: mp.weixin.qq.com(查看原文) 阅读量:22 收藏

漏洞名称:

Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)

组件名称:

威睿-Spring Security

影响范围:

Spring Security ≤ 5.7.12
5.8.0 ≤ Spring Security ≤ 5.8.14
6.0.0 ≤ Spring Security ≤ 6.0.12
6.1.0 ≤ Spring Security ≤ 6.1.10
6.2.0 ≤ Spring Security ≤ 6.2.6
6.3.0 ≤ Spring Security ≤ 6.3.3

漏洞类型:

未授权访问

利用条件:

1、用户认证:不需要用户认证

2、前置条件:(1)需要使用WebFlux应用 (2)使用Spring Security静态资源 (3)必须具有应用于静态资源的 non-permitAll 授权规则

3、触发方式:远程

综合评价:

<综合评定利用难度>:容易,能造成权限绕过。

<综合评定威胁等级>:高危,能造成权限绕过。

官方解决方案:

已发布

漏洞分析

组件介绍

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。

漏洞简介

2024年10月31日,深瞳漏洞实验室监测到一则威睿-Spring Security组件存在未授权访问漏洞的信息,漏洞编号:CVE-2024-38821,漏洞威胁等级:严重。

在某些情况下,对静态资源具有 Spring Security 授权规则的 Spring WebFlux 应用程序可以被绕过。未授权的攻击者可以利用该漏洞绕过权限控制,访问静态资源,导致敏感信息泄露和服务器失控。该漏洞利用详情已在互联网上公开。

影响范围

目前受影响的威睿-Spring Security版本:

Spring Security ≤ 5.7.12
5.8.0 ≤ Spring Security ≤ 5.8.14
6.0.0 ≤ Spring Security ≤ 6.0.12
6.1.0 ≤ Spring Security ≤ 6.1.10
6.2.0 ≤ Spring Security ≤ 6.2.6
6.3.0 ≤ Spring Security ≤ 6.3.3

解决方案

官方修复建议

安全版本:
Spring Security 5.7.13(仅限企业支持)
Spring Security 5.8.15(仅限企业支持)
Spring Security 6.0.13(仅限企业支持)
Spring Security 6.1.11(仅限企业支持)
Spring Security 6.2.7Spring Security 6.3.4

解决方案:
Vmware官方已发布最新版本修复该漏洞,建议受影响用户将Spring Security更新到最新版本。下载链接:https://github.com/spring-projects/spring-security/tags
注:部分版本目前只支持企业版本

深信服解决方案

风险资产发现

支持对威睿-Spring Security的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服云镜YJ】 已发布资产检测方案,指纹ID:0007881。

参考链接

https://spring.io/security/cve-2024-38821

时间轴

2024/10/31

深瞳漏洞实验室监测到Spring Security 静态资源未授权访问漏洞信息。

2024/10/31

深瞳漏洞实验室发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247523818&idx=1&sn=cc8b5b5a74093b7a22d801da1132bd66&chksm=ce4616faf9319fecfebae28dae8ce14b0cf427706a9de714ff032080609c0830726222f52a10&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh