Spring Security @AuthorizeReturnObject 权限绕过漏洞

北京赛克艾威科技有限公司 2024-08-20

  • 漏洞编号:CVE-2024-38810
  • 漏洞等级:高危
  • 漏洞标签:发布预警、公开漏洞
  • 发布时间:2024-08-20

漏洞描述

Spring Security 是Spring框架中用于处理认证和授权的子项目,@AuthorizeReturnObject 注解用于在方法返回结果后执行权限检查。 受影响版本中,当应用满足以下条件时,@PreFilter、@PostFilter、@PreAuthorize 或 @PostAuthorize 注解会失效,导致安全校验绕过: 1、使用 AnnotationAwareAspectJAutoProxyCreator 创建代理; 2、程序上下文中至少有一个 FactoryBean; 3、使用 @EnableMethodSecurity 启用方法级安全性控制; 4、使用 @AuthorizeReturnObject 注解或由 Spring Security 生成的 AuthorizationAdvisorProxyFactory @Bean 对对象进行封装。

修复建议

1. 将组件 org.springframework.security:spring-security-config 升级至 6.3.2 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-e849-vn3x

https://spring.io/security/cve-2024-38810

https://github.com/spring-projects/spring-security/commit/ae8e4d148ef471cc3d5c3421f3501c99d2602b15

https://www.oscs1024.com/hd/MPS-e849-vn3x