漏洞标题
N/A
漏洞描述信息
在Spring Security中,5.7.x版本之前至5.7.8版本、5.8.x版本之前至5.8.3版本和6.0.x版本之前至6.0.3版本,使用序列化版本进行注销支持并不正确清除安全上下文。此外,将空的安全上下文明确地保存到HttpSessionSecurityContextRepository中是不可能的。这个漏洞即使在用户完成注销后仍能使用户保持 authenticated。受影响版本的用户应应用以下缓解措施。5.7.x用户应升级到5.7.8。5.8.x用户应升级到5.8.3。6.0.x用户应升级到6.0.3。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Spring Security, versions 5.7.x prior to 5.7.8, versions 5.8.x prior to 5.8.3, and versions 6.0.x prior to 6.0.3, the logout support does not properly clean the security context if using serialized versions. Additionally, it is not possible to explicitly save an empty security context to the HttpSessionSecurityContextRepository. This vulnerability can keep users authenticated even after they performed logout. Users of affected versions should apply the following mitigation. 5.7.x users should upgrade to 5.7.8. 5.8.x users should upgrade to 5.8.3. 6.0.x users should upgrade to 6.0.3.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Spring Framework 安全漏洞
漏洞描述信息
Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Security 5.7.x 系列5.7.8 之前版本、 5.8.x系列5.8.3 之前的版本和6.0.x系列 6.0.3 之前的版本存在安全漏洞,该漏洞源于如果使用序列化版本,注销支持不会正确清理Security上下文。
CVSS信息
N/A
漏洞类别
其他