Spring WebFlux使用未加前缀的双通配符模式绕过安全性CVE-2023-34034

本文主要是介绍Spring WebFlux使用未加前缀的双通配符模式绕过安全性CVE-2023-34034,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 0.前言
    • 漏洞
    • 漏洞介绍
    • 描述
  • 1.参考文档
  • 2.基础介绍
  • 3.解决方案
    • 3.1. 升级版本
  • 4.漏洞修复源码分析
  • 5. 漏洞利用示例

在这里插入图片描述

0.前言

背景:公司项目扫描到 WebFlux中使用"**"作为模式会导致Spring Security和Spring WebFlux之间 CVE-2023-34034漏洞

漏洞

高 | 2023年7月18日 | CVE-2023-34034

在Spring Security配置的WebFlux中使用"**"作为模式会导致Spring Security和Spring WebFlux之间的模式匹配不匹配,从而可能导致安全性绕过。。

漏洞介绍

CVE-2023-34034:WebFlux使用未加前缀的双通配符模式绕过安全性

描述

在Spring Security配置的WebFlux中使用"**"作为模式会导致Spring Security和Spring WebFlux之间的模式匹配不匹配,从而可能导致安全性绕过。

受影响的Spring产品和版本
Spring Security:
6.1.0至6.1.1
6.0.0至6.0.4
5.8.0至5.8.4
5.7.0至5.7.9
5.6.0至5.6.11

以下Spring Security版本修复了此漏洞:

6.1.2+
6.0.5+
5.8.5+
5.7.10+
5.6.12+ 上述版本要求使用以下Spring Framework版本:

6.0.11+
5.3.29+
5.2.25+

1.参考文档

  1. CVE 官方网站 https://www.cve.org/CVERecord
    在这里插入图片描述

  2. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

  3. https://security.netapp.com/advisory/ntap-20230814-0008/

2.基础介绍

Spring Security最近发布的新版本修复了一个名为CVE-2023-34034的访问控制漏洞。该漏洞被评为高危漏洞,可能对使用Spring Security进行身份验证和访问控制的Spring WebFlux应用程序造成严重影响。

Spring Security是一个广泛使用的Java身份验证和访问控制框架,用于保护企业级Java应用程序。它与Spring Framework集成,并提供了强大的身份验证和授权功能。

Spring WebFlux是Spring Framework 5引入的一种反应式编程替代方案,用于构建异步、非阻塞和响应式的应用程序。它利用反应式流API来处理请求,具有高性能和可伸缩性的特点。

该漏洞的具体细节是在Spring Security的PathPatternParserServerWebExchangeMatcher类中发现的。在修复之前,该类使用了PathPatternParser类的parse()方法来解析路径模式。修复提交引入了一个新的parse()函数,该函数在解析模式之前会确保模式以斜杠开头。然而,在修复之前,如果模式没有以斜杠结尾并且请求路径包含斜杠,将会绕过路径匹配器,导致身份验证和授权绕过

攻击者可以利用该漏洞通过修改请求路径中的双斜杠来绕过访问控制,从而未经授权地访问受保护的资源。

为了修复该漏洞,建议尽快升级到修复了漏洞的Spring Security版本。同时,需要审查应用程序中的访问控制规则和路径模式,确保它们不会受到此漏洞的影响。特别注意使用PathPatternParserServerWebExchangeMatcher类的地方,并确保路径模式以斜杠结尾。此外,进行安全测试和代码审查是保证应用程序安全性的重要步骤。

及时更新和修复应用程序中的安全漏洞是保护应用程序和用户数据安全的关键措施之一。

3.解决方案

3.1. 升级版本

以下Spring Security版本修复了此漏洞:

6.1.2+
6.0.5+
5.8.5+
5.7.10+
5.6.12+

上述版本要求使用以下Spring Framework版本:

6.0.11+
5.3.29+
5.2.25+

4.漏洞修复源码分析

以下是我们对源代码的深入分析,从修复提交(7813a9b)开始。

web/src/main/java/org/springframework/security/web/server/util/matcher/PathPatternParserServerWebExchangeMatcher.java
在这里插入图片描述

PathPatternParser源代码

在查看对比之前,我们可以看到在修复之前,PathPatternParserServerWebExchangeMatcher类使用了PathPatternParser类中实现的parse()方法。

修复提交引入了一个新的parse()函数,由PathPatternParserServerWebExchangeMatcher类自己实现,它扩展了PathPatternParser的parse()方法,并添加了initFullPathPattern()

从源代码中可以看出,这个实用函数在字符串的开头添加了一个斜杠,前提是它还没有存在。

测试用例明确了问题的本质:如果配置的模式不以斜杠结尾,并且请求路径包含斜杠,则匹配将成功。这实际上允许绕过路径匹配器。

/**为匹配完整URL路径而准备给定的模式。
默认情况下,为非空模式添加前导斜杠。
@param pattern 要初始化的模式
@return 更新后的模式
@since 5.2.25
*/
public String initFullPathPattern(String pattern) {
return (StringUtils.hasLength(pattern) && !pattern.startsWith("/") ? "/" + pattern : pattern);
}// 进一步查看提交时,新引入的测试验证了这一评估:
class PathPatternParserServerWebExchangeMatcherTests {reasonml
Copy
@Test
void matchesWhenConfiguredWithNoTrailingSlashAndPathContainsSlashThenMatches() {PathPatternParserServerWebExchangeMatcher matcher = new PathPatternParserServerWebExchangeMatcher("user/**");MockServerHttpRequest request = MockServerHttpRequest.get("/user/test").build();assertThat(matcher.matches(MockServerWebExchange.from(request)).继续上一条回答:
.build().isMatch()).isTrue();
}reasonml
Copy
@Test
void matchesWhenConfiguredWithNoTrailingSlashAndPathDoesNotContainSlashThenDoesNotMatch() {PathPatternParserServerWebExchangeMatcher matcher = new PathPatternParserServerWebExchangeMatcher("user/**");MockServerHttpRequest request = MockServerHttpRequest.get("/user").build();assertThat(matcher.matches(MockServerWebExchange.from(request)).build().isMatch()).isFalse();
}@Test
void matchesWhenConfiguredWithTrailingSlashAndPathContainsSlashThenMatches() {PathPatternParserServerWebExchangeMatcher matcher = new PathPatternParserServerWebExchangeMatcher("user/**/");MockServerHttpRequest request = MockServerHttpRequest.get("/user/test").build();assertThat(matcher.matches(MockServerWebExchange.from(request)).build().isMatch()).isTrue();
}@Test
void matchesWhenConfiguredWithTrailingSlashAndPathDoesNotContainSlashThenDoesNotMatch() {PathPatternParserServerWebExchangeMatcher matcher = new PathPatternParserServerWebExchangeMatcher("user/**/");MockServerHttpRequest request = MockServerHttpRequest.get("/user").build();assertThat(matcher.matches(MockServerWebExchange.from(request)).build().isMatch()).isFalse();
}
}

5. 漏洞利用示例

为了更好地理解漏洞是如何被利用的,我们可以通过以下示例演示:

假设我们有一个Spring WebFlux应用程序,其中配置了以下路径模式:

PathPatternParserServerWebExchangeMatcher matcher = new PathPatternParserServerWebExchangeMatcher("admin/**");

当用户尝试访问/admin/test路径时,由于该路径与模式匹配,Spring Security将执行身份验证和授权检查。

现在,如果攻击者尝试访问以下路径:

/admin//test
请注意,请求路径中的双斜杠(//)会绕过路径匹配器的检查,导致绕过身份验证和授权检查。攻击者可以在未经授权的情况下访问受保护的资源。

这篇关于Spring WebFlux使用未加前缀的双通配符模式绕过安全性CVE-2023-34034的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/837286

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数