Spring Security静态资源权限绕过漏洞CVE-2024-38821
Spring WebFlux 是 Spring 框架中的一个响应式编程模型,它基于Reactor库,是一个功能强大且高度可定制的身份验证和访问控制框架。
一、基本情况
Spring Security支持ReactiveStreams规范,允许在高并发场景下更高效地处理数据流,特别是在I/O密集型和高吞吐量的应用中表现出色。
Spring Security提供一组在Spring应用上下文中配置的Bean,充分利用IoC,DI和AOP功能,为应用系统提供声明式的安全访问控制功能。
Spring Security提供非阻塞事件驱动架构,适合构建异步的、可扩展Web应用程序,减少了为企业系统安全控制编写大量重复代码的工作。
栋科技漏洞库关注到VMware Tanzu2024年10月25日发布安全公告,修复Spring Security中一个授权绕过漏洞,追踪为CVE-2024-38821。
二、漏洞分析
CVE-2024-38821是静态资源权限绕过漏洞,某些情况下对静态资源具有Spring Security授权规则的Spring WebFlux应用程序可以被绕过。
Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时,由于解析差异,可能导致权限绕过从而造成敏感数据泄露等影响。
CVE-2024-38821漏洞的CVSS评分为9.1,未经授权的攻击者可以利用该漏洞绕过原本的身份认证机制,从而未授权访问敏感数据和资源。
该漏洞由 tkswifty 和 d4y1ightl 负责任地报告,目前CVE-2024-38821的技术细节PoC与EXP已在互联网上公开,安全人员成功复现该漏洞。
但需要明确的是,利用该漏洞影响其应用程序必须满足下列条件:
*必须是 WebFlux 应用程序
*必须使用Spring security的静态资源支持
*必须将 non-permitAll 授权规则应用于静态资源支持
三、 影响范围
5.7.0 <= Spring Security <= 5.7.12
5.8.0 <= Spring Security <= 5.8.14
6.0.0 <= Spring Security <= 6.0.12
6.1.0 <= Spring Security <= 6.1.10
6.2.0 <= Spring Security <= 6.2.6
6.3.0 <= Spring Security <= 6.3.3
较旧的、不受支持的版本也受到影响。
四、修复建议
目前官方已发布安全更新,请受影响用户及时升级至最新版本:
Spring Security 5.7.* >= 5.7.13(仅限企业支持)
Spring Security 5.8.* >= 5.8.15(仅限企业支持)
Spring Security 6.0.* >= 6.0.13(仅限企业支持)
Spring Security 6.1.* >= 6.1.11(仅限企业支持)
Spring Security 6.2.* >= 6.2.7
Spring Security 6.3.* >= 6.3.4
五、参考链接
https://spring.io/security/cve-2024-38821
https://github.com/spring-projects/spring-security/tags