发布日期：2019-08-05
更新日期：2019-08-05

受影响系统：

Pivotal Software Spring Security 4.2.3
Pivotal Software Spring Security 4.2.2
Pivotal Software Spring Security 4.2.12
Pivotal Software Spring Security 4.2.11
Pivotal Software Spring Security 4.2.1
Pivotal Software Spring Security 4.2
Pivotal Software Spring Security 4.1.4
Pivotal Software Spring Security 4.1.3
Pivotal Software Spring Security 4.0
Pivotal Software Spring Security 3.2.9
Pivotal Software Spring Security 3.2.5
Pivotal Software Spring Security 3.2.4
Pivotal Software Spring Security 3.2.10
Pivotal Software Spring Security 3.2
Pivotal Software Spring Security 3.1.7
Pivotal Software Spring Security 3.1.6

不受影响系统：

Pivotal Software Spring Security 4.2.13

描述：

---

BUGTRAQ  ID: 108877
CVE(CAN) ID: CVE-2019-11272

Pivotal Spring Security是美国Pivotal Software公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
Pivotal Spring Security 4.2.X至4.2.12和不再支持的老版本中存在身份验证绕过漏洞，该漏洞源于这些版本支持使用PlaintextPasswordEncoder的纯文本密码。恶意攻击者可利用该漏洞，在受影响Spring Security版本的应用程序中利用PlaintextPasswordEncoder且用户具有空编码密码情况下，通过“null”密码进行身份验证。

<*来源：mytaxi的Tim Buthe和Daniel Neagaru
  
  链接：https://pivotal.io/security/cve-2019-11272
*>

建议：

---

厂商补丁：

Pivotal Software
----------------
Pivotal Software已经为此发布了一个安全公告（CVE-2019-11272）以及相应补丁:
CVE-2019-11272：CVE-2019-11272: PlaintextPasswordEncoder authenticates encoded passwords that are null
链接：https://pivotal.io/security/cve-2019-11272

补丁下载：

浏览次数：1184
严重程度：0（网友投票）