漏洞名称：Spring Security 访问控制错误漏洞 CVE-2024-22234

漏洞描述：2024 年 2 月 22 日，深瞳漏洞实验室监测到一则 Spring Security存在访问控制错误漏洞的信息，该漏洞是由于 Authentication 方法对身份验证参数处理不当，攻击者可利用该漏洞绕过身份验证，最终造成服务器敏感性信息泄露，提升服务器被入侵的风险。

漏洞编号：CVE-2024-22234，漏洞威胁等级：高危。

组件介绍：

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。

影响范围：

目前受影响的 Spring Security 版本：

6.1.0 ≤ Spring Security < 6.1.7

6.2.0 ≤ Spring Security < 6.2.2

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：远程

<综合评定利用难度>：简单，无需认证。

<综合评定威胁等级>：高危，能造成未授权访问。

官方修复建议：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：

https://spring.io/projects/spring-security