描述

Spring Security 4.2.x 到 4.2.12 版本，以及較舊的不支援版本，支援使用 PlaintextPasswordEncoder 的純文字密碼。如果使用受影響版本的 Spring Security 的應用程式正在使用 PlaintextPasswordEncoder，並且使用者的編碼後密碼為 null，則惡意使用者（或攻擊者）可以使用 "null" 密碼進行身份驗證。

受影響的 Spring 產品和版本

• Spring Security 4.2 至 4.2.12
• 較舊的不支援版本也受到影響
• 請注意，Spring Security 5+ 不受此漏洞影響。

緩解措施

受影響版本的用戶應採取以下緩解措施

• 4.2.x 用戶應升級到 4.2.13
• 較舊的版本應升級到受支援的分支

沒有其他必要的緩解步驟。

致謝

此問題由來自 mytaxi 的 Tim Büthe 和 Daniel Neagaru 負責地識別和報告。

歷史

2019-06-19：發布初始漏洞報告