Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Vmware›Приложениеnvd

Spring Security

Уязвимости

32

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.10037

Распределение по критичности

Критический

3

Высокий

15

Средний

12

Низкий

2

Затронутые диапазоны версий

2.0.0–2.0.64.1.0–4.1.54.2.0–4.2.124.2.0–4.2.165.2.0–5.2.115.2.1–5.5.75.4.0–5.4.45.6.0–5.6.125.6.0–5.6.95.7.0–5.7.245.7.0–5.7.85.8.0–5.8.55.8.4–5.8.76.1.0–6.1.76.3.0–6.3.26.4.0–6.4.167.0.0–7.0.5< 4.2.13< 5.5.7< 5.7.22< 5.7.23< 6.3.15

Также сопоставлено как (исходные строки): spring_security,spring_framework

Топ уязвимостей

CVE-2022-22978В версиях Spring Security до 5.4.11+, 5.5.7+, 5.6.4+ и более старых неподдерживаемых версиях RegexRequestMatcher можно легко неправильно настроить, чтобы его можно было обойти на некоторых контейнерах сервлетов. Приложения, использующие RegexRequestMatcher с `.` в регулярном выражении, возможно, уязвимы для обхода авторизации.

CVE-2014-3527При использовании аутентификации CAS Proxy ticket из Spring Security 3.1 в 3.2.4 вредоносный CAS Service может обманом заставить другой CAS Service аутентифицировать прокси-билет, который не был связан. Это связано с тем, что аутентификация прокси-билета использует информацию из HttpServletRequest, которая заполняется на основе ненадежной информации в HTTP-запросе. Это означает, что если существуют ограничения контроля доступа на то, какие CAS-сервисы могут аутентифицироваться друг у друга, эти ограничения можно обойти. Если пользователи не используют CAS Proxy tickets и не принимают решения о контроле доступа на основе CAS Service, то для пользователей нет никакого воздействия.

CVE-2026-22732Когда приложения задают заголовки HTTP ответов для приложений servlet с использованием Spring Security, существует вероятность того, что заголовки HTTP не будут написаны. Эта проблема затрагивает приложения Spring Security Servlet с использованием ленивого (по умолчанию) написания HTTP Headers: : с 5.7,0 по 5.7.21, с 5.8.0 по 5.8.23, с 6.3.0 по 6.3.14, с 6.4.0 до 6.4.14, с 6.5.0 до 6.5.8, с 7.0.0 до 7.0.3.

CVE-2021-22112Spring Security 5.4.x до 5.4.4, 5.3.x до 5.3.8.RELEASE, 5.2.x до 5.2.9.RELEASE и более старые неподдерживаемые версии могут не сохранять SecurityContext, если он изменяется более одного раза в одном запросе. Злоумышленник не может вызвать эту ошибку (она должна быть запрограммирована). Однако, если приложение предназначено для того, чтобы разрешить пользователю работать с повышенными привилегиями только в небольшой части приложения, эту ошибку можно использовать для распространения этих привилегий на остальную часть приложения.

CVE-2026-22747Уязвимость в Spring Spring Security. SubjectX500PrincipalExtractor неправильно обрабатывает определенные неправильно сформированные значения сертификата X.509 CN, что может привести к чтению неправильного значения для имени пользователя. В тщательно составленном сертификате это может привести к тому, что злоумышленник выдает себя за другого пользователя. Эта проблема затрагивает Spring Security: от 7.0.0 до 7.0.4.

CVE-2023-34034Использование "**" в качестве шаблона в конфигурации Spring Security для WebFlux создает несоответствие в сопоставлении шаблонов между Spring Security и Spring WebFlux, а также возможность обхода системы безопасности.

CVE-2022-31690Spring Security, версии 5.7 до 5.7.5 и 5.6 до 5.6.9, а также более старые неподдерживаемые версии могут быть подвержены повышению привилегий при определенных условиях. Злонамеренный пользователь или злоумышленник может изменить запрос, инициированный клиентом (через браузер) к серверу авторизации, что может привести к повышению привилегий при последующем утверждении. Этот сценарий может произойти, если сервер авторизации отвечает ответом токена доступа OAuth2, содержащим пустой список областей (согласно RFC 6749, раздел 5.1) при последующем запросе к конечной точке токена для получения токена доступа.

CVE-2017-4995Проблема обнаружена в Pivotal Spring Security 4.2.0.RELEASE до 4.2.2.RELEASE и Spring Security 5.0.0.M1. При настройке для включения типизации по умолчанию Jackson содержал уязвимость десериализации, которая могла привести к выполнению произвольного кода. Jackson исправил эту уязвимость, внеся в черный список известные "гаджеты десериализации". Spring Security настраивает Jackson с включенной глобальной типизацией по умолчанию, что означает, что (через предыдущий эксплойт) произвольный код может быть выполнен, если все следующее верно: (1) Поддержка Jackson в Spring Security используется путем вызова SecurityJackson2Modules.getModules(ClassLoader) или SecurityJackson2Modules.enableDefaultTyping(ObjectMapper); (2) Jackson используется для десериализации данных, которым нет доверия (Spring Security не выполняет десериализацию с использованием Jackson, поэтому это явный выбор пользователя); и (3) существует неизвестный (Jackson еще не внес его в черный список) "гаджет десериализации", который позволяет выполнить код, присутствующий в classpath. Jackson предоставляет подход с использованием черного списка для защиты от этого типа атак, но Spring Security должен быть активным в блокировании неизвестных "гаджетов десериализации", когда Spring Security включает типизацию по умолчанию.

CVE-2026-40988Приложение, использующее Spring-security-saml2-сервис-провайдера и привязку REDIRECT для SAML 2.0 Login или Logout, может быть уязвимо для отказа в обслуживании через неограненный автор, который надувает сжатую полезную нагрузку SAML в память. Затрагиваемые версии: Безопасность весеннего времени с 5,7,0 до 5,7.23; с 5,8,0 до 5.8.25; с 6,3,0 до 6,6; 6,0-6,5; 7,0-7,0-7,0,5.0 до 7.0.5.

CVE-2026-22754Уязвимость в весенней весенней безопасности. Если приложение использует <sec:intercept-url servlet-path="/servlet-path" шаблон="/endpoint/**"> для определения пути сервлета для вычисления спутника пути, то путь сервлета не включается, и соответствующие правила авторизации не выполняются. Это может привести к авторизовому обходу.Эта проблема затрагивает Spring Security: от 7.0.0 до 7.0.4.

CVE-2026-22753Уязвимость в весенней весенней безопасности. Если приложение использует securityMatchers (String) и PathPatternRequestMatcher.Be.Builder для предвосхождения пути сервлета, сопоставление запросов с этой цепочкой фильтров может выйти из строя, и связанные с ней компоненты безопасности не будут реализованы, как это было задумано приложением. Это может привести к тому, что аутентификация, авторизация и другие средства защиты будут неактивны по предполагаемым запросам. Эта проблема затрагивает Spring Security: от 7.0.0 до 7.0.4.

CVE-2021-22119Spring Security версии 5.5.x до 5.5.1, 5.4.x до 5.4.7, 5.3.x до 5.3.10 и 5.2.x до 5.2.11 восприимчивы к атаке типа «отказ в обслуживании» (DoS) посредством инициирования запроса авторизации в веб-приложении и приложении WebFlux OAuth 2.0 Client. Злоумышленник может отправлять несколько запросов, инициирующих запрос авторизации для предоставления кода авторизации, что может привести к исчерпанию системных ресурсов с использованием одного сеанса или нескольких сеансов.

CVE-2018-1199Spring Security (Spring Security 4.1.x до 4.1.5, 4.2.x до 4.2.4 и 5.0.x до 5.0.1; и Spring Framework 4.3.x до 4.3.14 и 5.0.x до 5.0.3) не учитывает параметры пути URL при обработке ограничений безопасности. Добавив параметр пути URL со специальными кодировками, злоумышленник может обойти ограничение безопасности. Основной причиной этой проблемы является отсутствие ясности в отношении обработки параметров пути в спецификации Servlet. Некоторые контейнеры Servlet включают параметры пути в значение, возвращаемое для getPathInfo(), а некоторые - нет. Spring Security использует значение, возвращаемое getPathInfo(), как часть процесса сопоставления запросов с ограничениями безопасности. В этой конкретной атаке различные кодировки символов, используемые в параметрах пути, позволяют обойти защищенные URL-адреса статических ресурсов Spring MVC.

CVE-2011-2894Spring Framework 3.0.0 по 3.0.5, Spring Security 3.0.0 по 3.0.5 и 2.0.0 по 2.0.6, и, возможно, другие версии десериализуют объекты из ненадежных источников, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения безопасности и выполнять ненадежный код путем (1) сериализации экземпляра java.lang.Proxy и использования InvocationHandler или (2) доступа к внутренним интерфейсам AOP, как продемонстрировано с использованием десериализации экземпляра DefaultListableBeanFactory для выполнения произвольных команд через класс java.lang.Runtime.

CVE-2024-22234В Spring Security версии 6.1.x до 6.1.7 и версии 6.2.x до 6.2.2 приложение уязвимо к нарушению контроля доступа, когда оно напрямую использует метод AuthenticationTrustResolver.isFullyAuthenticated(Authentication). Конкретно, приложение уязвимо, если: * Приложение напрямую использует AuthenticationTrustResolver.isFullyAuthenticated(Authentication), и передан параметр аутентификации null, что приводит к ошибочному истинному значению. Приложение не уязвимо, если любое из следующего истинно: * Приложение не использует AuthenticationTrustResolver.isFullyAuthenticated(Authentication) напрямую. * Приложение не передает null в AuthenticationTrustResolver.isFullyAuthenticated. * Приложение использует isFullyAuthenticated только через Безопасность методов https://docs.spring.io/spring-security/reference/servlet/authorization/method-security.html или Безопасность HTTP-запросов https://docs.spring.io/spring-security/reference/servlet/authorization/authorize-http-requests.html.

CVE-2022-31692Spring Security, версии 5.7 до 5.7.5 и 5.6 до 5.6.9, могут быть подвержены обходу правил авторизации через типы диспетчера пересылки или включения. В частности, приложение уязвимо, когда выполняются все следующие условия: Приложение ожидает, что Spring Security применяет безопасность к типам диспетчера пересылки и включения. Приложение использует AuthorizationFilter либо вручную, либо через метод authorizeHttpRequests(). Приложение настраивает FilterChainProxy для применения к запросам пересылки и/или включения (например, spring.security.filter.dispatcher-types = request, error, async, forward, include). Приложение может пересылать или включать запрос в конечную точку с более высокими привилегиями. Приложение настраивает Spring Security для применения к каждому типу диспетчера через authorizeHttpRequests().shouldFilterAllDispatcherTypes(true)

CVE-2019-11272Spring Security, версии 4.2.x до 4.2.12 и более старые неподдерживаемые версии, поддерживает пароли в виде обычного текста с использованием PlaintextPasswordEncoder. Если приложение, использующее уязвимую версию Spring Security, использует PlaintextPasswordEncoder и пользователь имеет нулевой закодированный пароль, злонамеренный пользователь (или злоумышленник) может пройти аутентификацию, используя пароль "null".

CVE-2014-0097ActiveDirectoryLdapAuthenticator в Spring Security 3.2.0 до 3.2.1 и 3.1.0 до 3.1.5 не проверяет длину пароля. Если каталог разрешает анонимные привязки, он может неправильно аутентифицировать пользователя, предоставившего пустой пароль.

CVE-2026-22748Уязвимость в весенней безопасности. Когда приложение настраивает декодирование JWT с помощью NimbusJwtDecoder или NimbusReactiveJwtDecoder, оно должно настроить OAuth2TokenValidator<Jwt> отдельно, например, по вызову setJwtValidator.Эта проблема влияет на Весеннюю безопасность: от 6.3.0 до 6.3.14, с 6.4.0 до 6.4.14, с 6.5.0 до 6.5.

CVE-2024-38810Отсутствие авторизации при использовании @AuthorizeReturnObject в Spring Security 6.3.0 и 6.3.1 позволяет злоумышленнику сделать аннотации безопасности неэффективными.

CVE-2020-5408Spring Security версий 5.3.x до 5.3.2, 5.2.x до 5.2.4, 5.1.x до 5.1.10, 5.0.x до 5.0.16 и 4.2.x до 4.2.16 использует фиксированный нулевой вектор инициализации с режимом CBC в реализации зашифровщика запрошенного текста. Злоумышленник, имеющий доступ к данным, зашифрованным с использованием такого шифровщика, может получить незашифрованные значения, используя атаку по словарю.

CVE-2016-9879В Pivotal Spring Security до 3.2.10, 4.1.x до 4.1.4 и 4.2.x до 4.2.1 обнаружена проблема. Spring Security не учитывает параметры пути URL при обработке ограничений безопасности. Добавив параметр пути URL с закодированным "/" в запрос, злоумышленник может обойти ограничение безопасности. Основная причина этой проблемы - отсутствие ясности в отношении обработки параметров пути в спецификации Servlet. Некоторые контейнеры Servlet включают параметры пути в значение, возвращаемое для getPathInfo(), а некоторые - нет. Spring Security использует значение, возвращаемое getPathInfo(), как часть процесса сопоставления запросов с ограничениями безопасности. Неожиданное присутствие параметров пути может привести к обходу ограничения. Пользователи Apache Tomcat (всех текущих версий) не подвержены этой уязвимости, поскольку Tomcat следует рекомендациям, ранее предоставленным группой экспертов Servlet, и удаляет параметры пути из значения, возвращаемого getContextPath(), getServletPath() и getPathInfo(). Пользователи других контейнеров Servlet, основанных на Apache Tomcat, могут быть затронуты или не затронуты в зависимости от того, была ли изменена обработка параметров пути. Известно, что пользователи IBM WebSphere Application Server 8.5.x затронуты. Пользователи других контейнеров, реализующих спецификацию Servlet, могут быть затронуты.

CVE-2023-20862В Spring Security, версий 5.7.x до 5.7.8, версий 5.8.x до 5.8.3 и версий 6.0.x до 6.0.3, поддержка выхода из системы неправильно очищает контекст безопасности при использовании сериализованных версий. Кроме того, невозможно явно сохранить пустой контекст безопасности в HttpSessionSecurityContextRepository. Эта уязвимость может сохранить аутентификацию пользователей даже после того, как они выполнили выход из системы. Пользователям уязвимых версий следует применить следующие меры по снижению риска. Пользователям версий 5.7.x следует обновиться до версии 5.7.8. Пользователям версий 5.8.x следует обновиться до версии 5.8.3. Пользователям версий 6.0.x следует обновиться до версии 6.0.3.

CVE-2023-34042Файл spring-security.xsd внутри jar-файла spring-security-config доступен для записи всем пользователям, что означает, что если он будет извлечен, его сможет записать любой пользователь, имеющий доступ к файловой системе. Хотя известных эксплойтов нет, это пример "CWE-732: Неправильное назначение разрешений для критически важного ресурса", и это может привести к эксплойту. Пользователям следует обновить Spring Security до последней версии, чтобы устранить любые будущие эксплойты, обнаруженные в связи с этой проблемой.

CVE-2026-41003Тераку, способному влиять на значения в RelyingPartyRegistration, может запускать произвольный код в HTML-формах, генерируемых фильтрами Spring Security. Затрагиваемые версии: Безопасность весеннего времени с 5,7,0 до 5,7.23; с 5,8,0 до 5.8.25; с 6,3,0 до 6,6; 6,0-6,5; 7,0-7,0-7,0,5.0 до 7.0.5.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →