国产精品老女人精品视频,久久综合日本久久综合88,亚洲日韩av一区二区三区中文,亚洲国产边做边流奶水无码

      <b id="i7bko"></b>

      <source id="i7bko"></source>
      <source id="i7bko"><menuitem id="i7bko"></menuitem></source>

      Spring Security身份認(rèn)證繞過漏洞 (CVE-2022-22978) 安全風(fēng)險(xiǎn)通告

      近日,奇安信CERT監(jiān)測(cè)到Spring Security 身份認(rèn)證繞過漏洞 (CVE-2022-22978) 細(xì)節(jié)及PoC公開。當(dāng)Spring Security中使用RegexRequestMatcher進(jìn)行權(quán)限配置,且規(guī)則中使用帶點(diǎn)號(hào)的正則表達(dá)式時(shí),未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可通過構(gòu)造惡意數(shù)據(jù)包繞過身份認(rèn)證,導(dǎo)致配置的權(quán)限驗(yàn)證失效。目前,奇安信CERT已復(fù)現(xiàn)此漏洞,同時(shí)鑒于已有細(xì)節(jié)及PoC公開,建議客戶盡快做好自查,及時(shí)更新至最新版本。


      漏洞名稱
      Spring Security 身份認(rèn)證繞過漏洞
      開時(shí)
      2022-05-17
      更新時(shí)間
      2022-05-24
      CVE編號(hào)
      CVE-2022-22978
      其他編號(hào)
      QVD-2022-7329
      威脅類型
      身份認(rèn)證繞過
      技術(shù)類型
      授權(quán)不當(dāng)
      廠商
      VMware
      產(chǎn)品
      Spring Security
                         風(fēng)險(xiǎn)等級(jí)
      奇安信CERT風(fēng)險(xiǎn)評(píng)級(jí)
      風(fēng)險(xiǎn)等級(jí)
      高危
      藍(lán)色(一般事件)
                          現(xiàn)時(shí)威脅狀態(tài)
      POC狀態(tài)
      EXP狀態(tài)
      在野利用狀態(tài)
      技術(shù)細(xì)節(jié)狀態(tài)
      已公開
      未知
      未知
      已公開
      漏洞描述
      當(dāng)Spring   Security中使用RegexRequestMatcher進(jìn)行權(quán)限配置,且規(guī)則中使用帶點(diǎn)號(hào)(.)的正則表達(dá)式時(shí),未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可通過構(gòu)造惡意數(shù)據(jù)包繞過身份認(rèn)證,導(dǎo)致配置的權(quán)限驗(yàn)證失效。
      影響版本
      Spring Security 5.5.x < 5.5.7
      Spring Security 5.6.x < 5.6.4
      Spring Security 其他低版本同樣受影響
       
      不受影響版本
      Spring Security 5.5.x >= 5.5.7
      Spring Security 5.6.x >= 5.6.4
       
      其他受影響組件
      使用Spring   Security作為安全訪問控制解決方案的項(xiàng)目


       
      奇安信CERT已成功復(fù)現(xiàn)Spring Security 身份認(rèn)證繞過漏洞 (CVE-2022-22978),復(fù)現(xiàn)截圖如下: 



      威脅評(píng)估


      漏洞名稱
      Spring Security 身份認(rèn)證繞過漏洞
      CVE編號(hào)
      CVE-2022-22978
      其他編號(hào)
      QVD-2022-7329
      CVSS 3.1評(píng)級(jí)
      高危
      CVSS 3.1分?jǐn)?shù)
      8.2
       
       
       
      CVSS向量
      訪問途徑(AV)
      攻擊復(fù)雜度(AC)
      網(wǎng)絡(luò)
      所需權(quán)限(PR)
      用戶交互(UI)
      不需要
      不需要
      影響范圍(S)
      機(jī)密性影響(C)
      不變
      完整性影響(I)
      可用性影響(A)
      危害描述
      未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可利用此漏洞構(gòu)造數(shù)據(jù)包繞過身份認(rèn)證,導(dǎo)致配置的權(quán)限驗(yàn)證失效。
















      江蘇國(guó)駿信息科技有限公司 蘇ICP備17037372號(hào)-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com