Spring Security, версии 5.7 до 5.7.5 и 5.6 до 5.6.9, могут быть подвержены обходу правил авторизации через типы диспетчера пересылки или вк…

Spring Security, версии 5.7 до 5.7.5 и 5.6 до 5.6.9, могут быть подвержены обходу правил авторизации через типы диспетчера пересылки или включения. В частности, приложение уязвимо, когда выполняются все следующие условия: Приложение ожидает, что Spring Security применяет безопасность к типам диспетчера пересылки и включения. Приложение использует AuthorizationFilter либо вручную, либо через метод authorizeHttpRequests(). Приложение настраивает FilterChainProxy для применения к запросам пересылки и/или включения (например, spring.security.filter.dispatcher-types = request, error, async, forward, include). Приложение может пересылать или включать запрос в конечную точку с более высокими привилегиями. Приложение настраивает Spring Security для применения к каждому типу диспетчера через authorizeHttpRequests().shouldFilterAllDispatcherTypes(true)