发布日期：2023-07-20
更新日期：2023-08-30

受影响系统：

Spring Spring Security >= 6.1.0
Spring Spring Security >= 6.0.0
Spring Spring Security >= 5.8.0
Spring Spring Security >= 5.7.0
Spring Spring Security >= 5.6.0
Spring Spring Security <= 6.1.1
Spring Spring Security <= 6.0.4
Spring Spring Security <= 5.8.4
Spring Spring Security <= 5.7.9
Spring Spring Security <= 5.6.11

描述：

---

CVE(CAN) ID: CVE-2023-34034

Spring Security是一个高度自定义的安全框架，利用Spring IoC/DI和AOP功能，为系统提供了声明式安全访问控制功能。
Spring Security 6.1.0至6.1.1版本、6.0.0至<= 6.0.4版本、5.8.0至5.8.4版本、5.7.0至5.7.9版本、5.6.0至5.6.11版本存在身份认证绕过漏洞，攻击者可利用该漏洞绕过身份认证并导致Spring Security和Spring WebFlux之间模式不匹配。

<**>

建议：

---

厂商补丁：

Spring
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/spring-projects/spring-security/releases

浏览次数：359
严重程度：0（网友投票）