說明

在 WebFlux 的 Spring Security 設定中使用 "**" 作為模式，會在 Spring Security 和 Spring WebFlux 之間建立模式匹配的不一致，並有可能繞過安全性。

受影響的 Spring 產品和版本

Spring Security

• 6.1.0 至 6.1.1
• 6.0.0 至 6.0.4
• 5.8.0 至 5.8.4
• 5.7.0 至 5.7.9
• 5.6.0 至 5.6.11

緩解措施

以下 Spring Security 版本包含此漏洞的修復

• 6.1.2+
• 6.0.5+
• 5.8.5+
• 5.7.10+
• 5.6.12+

以上需要 Spring Framework 版本

• 6.0.11+
• 5.3.29+
• 5.2.25+

貢獻者

此漏洞由 tkswifty 和 Ha1c9on 負責地揭露。

參考資料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1