漏洞名称:Spring Security静态资源未授权访问漏洞
漏洞描述:2024年10月31日,网络上出现Spring Security组件存在未授权访问漏洞的信息。在某些情况下,对静态资源具有Spring Security授权规则的Spring WebFlux应用程序可以被绕过。未授权的攻击者可以利用该漏洞绕过权限控制,访问静态资源,导致敏感信息泄露和服务器失控。
组件介绍:Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。
影响范围:
目前受影响的Spring Security版本:
Spring Security≤6.3.3
解决方案:
Spring Security官方已发布最新版本修复该漏洞,建议受影响用户将Spring Security更新到最新版本。