一、概要

政务云关注到vmware官方发布安全公告，披露在Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRequestMatcher正则表达式配置权限的特性，当在Spring Security中使用RegexRequestMatcher且规则中包含带点号的正则表达式时，攻击者可以通过构造恶意数据包绕过身份认证。目前漏洞细节和POC已公开，风险高。

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。华为云提醒使用Spring Security的用户尽快安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、 影响范围

受影响版本：

Spring Security 5.5.x < 5.5.7

Spring Security 5.6.x < 5.6.4

Spring Security 其他低版本同样受影响

安全版本：

Spring Security 5.5.x >= 5.5.7

Spring Security 5.6.x >= 5.6.4

四、安全建议

注：修复漏洞前请将资料和数据进行备份，并与客户应用供应商和维护方确认并进行充分测试。

目前，官方已发布可更新版本，建议服务及时更新：

Spring Security 5.5.x 升级至 5.5.7 ：

https://github.com/spring-projects/spring-security/releases/tag/5.5.7

Spring Security 5.6.x 升级至 5.6.4 ：

https://github.com/spring-projects/spring-security/releases/tag/5.6.4