近日,奇安信CERT监测到Spring Security 身份认证绕过漏洞 (CVE-2022-22978) 细节及PoC公开。当Spring Security中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 目前,奇安信CERT已复现此漏洞,同时鉴于已有细节及PoC公开,建议客户尽快做好自查,及时更新至最新版本。
漏洞名称 |
Spring Security 身份认证绕过漏洞 |
||
公开时间 |
2022-05-17 |
更新时间 |
2022-05-24 |
CVE 编号 |
CVE-2022-22978 |
其他编号 |
QVD-2022-7329 |
威胁类型 |
身份认证绕过 |
技术类型 |
授权不当 |
厂商 |
VMware |
产品 |
Spring Security |
风险等级 |
|||
奇安信 CERT 风险评级 |
风险等级 |