【安全漏洞公告】Spring Session信息泄露漏洞(CVE-2023-20866)
一、漏洞簡介
|
CVE ID
|
CVE-2023-20866
|
公開日期
|
2023-04-14
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
�������Spring Session是(s������hi)Spring的(de)(de)一個項目,它提供了用(yong)(yong)于(yu)管理用(yong)(yong)戶會話(hua)信息的(de)(de)API和實(shi)現,在 3.0.0 版本中(zhong),當使用(yong)(yong)HeaderHttpSessionIdResolver(基于(yu)請求頭解析sessionId)時,Session ID可(ke)以被(bei)記(ji)錄到標(biao)準(zhun)輸出流中(zhong),有權訪問應用(yong)(yong)程(cheng)序日志的(de)(de)威脅者可(ke)以利用(yong)(yong)該漏(lou)洞獲取敏感信息,并用(yong)(yong)于(yu)會話(hua)劫持攻擊。
二、影響范圍
Spring Session 版本:3.0.0
三、解決措施
當(dang)前官方已發(fa)布最新版本,建議受影(ying)響(xiang)的用戶及時更新升(sheng)級(ji�����)到最新版本。
//spring.io/security/cve-2023-20866
四、參考(kao)鏈接
//spring.io/security/cve-2023-20866
//cxsecurity.com/cveshow/CVE-2023-20866/
