企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

    近日，奇安信CERT监测到Spring官方发布SpringSecurity身份认证绕过漏洞(CVE-2022-31692)通告，当SpringSecurity处理forward或include转发的请求时，可能存在漏洞，攻击者可利用此漏洞绕过授权规则。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

    威胁评估

    处置建议

    1、版本升级

    目前官方已有可更新版本，建议用户升级至：

    SpringSecurity>=5.6.9

    SpringSecurity>=5.7.5

    2、缓解方案

    无法升级的用户建议配置authorizeRequests().filterSecurityInterceptorOncePerRequest(false)代替authorizeHttpRequests().shouldFilterAllDispatcherTypes(true)

    SpringSecurity<5.7.0版本shouldFilterAllDispatcherTypes不可用，可通过添加ObjectPostProcessor缓解此漏洞：

    authorizeHttpRequests().withObjectPostProcessor(new

    ObjectPostProcessor(){

    @Override

    publicOpostProcess(Ofilter){

    filter.setObserveOncePerRequest(false);

    filter.setFilterAsyncDispatch(true);

    filter.setFilterErrorDispatch(true);

    returnfilter;

    参考资料

    [1]https://tanzu.vmware.com/security/cve-2022-31692

    时间线

    2022年11月2日，奇安信CERT发布安全风险通告。

    到奇安信NOX-安全监测平台查询更多漏洞详情