Spring Security 身份認(rèn)證繞過漏洞 (CVE-2022-22978)

2022-05-25

一、概要

近日，華為云關(guān)注到vmware官方發(fā)布安全公告，披露在Spring Security特定版本中存在一處身份認(rèn)證繞過漏洞(CVE-2022-22978)。由于RegexRequestMatcher正則表達(dá)式配置權(quán)限的特性，當(dāng)在Spring Security中使用RegexRequestMatcher且規(guī)則中包含帶點號的正則表達(dá)式時，攻擊者可以通過構(gòu)造惡意數(shù)據(jù)包繞過身份認(rèn)證。目前漏洞細(xì)節(jié)和POC已公開，風(fēng)險高。

Spring Security是一個能夠為基于Spring的企業(yè)應(yīng)用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。華為云提醒使用Spring Security的用戶盡快安排自檢并做好安全加固。

參考鏈接：CVE-2022-22978: Authorization Bypass in RegexRequestMatcher

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

其他Spring Security低版本均有可能受影響

安全版本：

Spring Security 5.5.x >= 5.5.7

Spring Security 5.6.x >= 5.6.4

四、漏洞處置

目前官方已發(fā)布安全版本，建議受影響的用戶升級Spring Security至安全版本：

https://github.com/spring-projects/spring-security/tags

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。