Spring Security 安全性公告

所有公告

CVE-2023-20866:Spring Session 中的 Session ID 可能會記錄到標準輸出串流

中等 | 2023 年 4 月 12 日 | CVE-2023-20866

說明

在 Spring Session 3.0.0 版本中,session id 可能會記錄到標準輸出串流。此漏洞會將敏感資訊暴露給可以存取應用程式日誌的人,並可能被用於 session 劫持。

具體而言,當符合以下條件時,應用程式容易受到攻擊:

  • 您正在使用 HeaderHttpSessionIdResolver

如果符合以下任一條件,則應用程式不會受到攻擊:

  • 您沒有使用 HeaderHttpSessionIdResolver

受影響的 Spring 產品和版本

Spring Session 3.0.0

缓解措施

受影響版本的用戶應升級到 Spring Session 3.0.1。已修復此問題的版本包括:

  • Spring Session 3.0.1

致謝

此問題由 DATEV eG 的 Benedikt Halser 發現並負責地報告。

報告漏洞

若要報告 Spring 系列專案中的安全性漏洞,請參閱安全性政策

取得領先

VMware 提供培訓和認證,以加速您的進度。

了解更多

獲得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將到來的活動

查看 Spring 社群中所有即將到來的活動。

查看全部