Die erste Lücke (CVE-2023-34034, CVSS 9.1, Risiko “kritisch”) lässt sich ausnutzen, indem Angreifer eine doppelte Wildcard “**” als Pattern in der Spring Security-Konfiguration erzeugen. Dies löst abweichende Mustervergleiche zwischen Spring Security und Spring Webflux aus, welche die Umgehung von Sicherungen ermöglichen.
Eine andere Sicherheitslücke (CVE-.2023-34035, CVSS 7.3, “hoch“) könnte für falsch konfigurierte Autorisierungsregeln anfällig sein, wenn die Anwendung requestMatchers (String) und mehrere Servlets verwendet werden. Unter den Servlets muss aber das DispatcherServlet von SpringMVC zu finden sein. Zusätzlich muss Spring MVC im Klassenpfad liegen.
Folgende Versionen stehen zum Download bereit:
- Spring Security: 6.1.2, 6.0.5, 5.8.5, 5.7.10 sowie 5.6.12 oder neuer
- Spring Framework: 6.0.11, 5.3.29, 5.2.25 oder höhere
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998