Spring Securityに認証回避の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96405576
Spring SecurityのRegexRequestMatcherにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU96405576/

概要

VMwareが提供するSpring Securityには、認証回避の脆弱性があります。結果として、遠隔の第三者がWebページの認証を回避し、情報を閲覧するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Spring Security 5.5.7より前の5.5系のバージョン
– Spring Security 5.6.4より前の5.6系のバージョン

開発者によると、サポートが終了した上記バージョンより前のバージョンも影響を受けるとのことです。

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新することで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware
CVE-2022-22978: Authorization Bypass in RegexRequestMatcher
https://tanzu.vmware.com/security/cve-2022-22978

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html