一、漏洞描述

Spring Security 是开源的身份验证和访问控制框架。

由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关，在Spring Security受影响版本中调用该方法进行鉴权判断时未指定Locale参数，导致在特定地区的系统环境中（如土耳其语），Spring Security中的大小写字母转换将出现不一致，可能导致鉴权规则被绕过。

在新版本中Spring Security通过指定转换时的locale参数避免不一致问题。

二、漏洞等级

高危

三、受影响版本

1.0.0.RELEASE <= version <= 2.5.2.RELEASE

6.3.0 <= version < 6.3.5

-∞ < version  < 6.2.8

四、安全版本

version >= 6.3.5

version >= 6.2.8

五、修复建议

目前官方已修复该漏洞，建议受影响用户尽快前往官网升级至安全版本。

六、缓解方案

目前暂无缓解方案。

七、参考链接

https://www.oscs1024.com/hd/MPS-z0eg-x6fj

https://github.com/spring-projects/spring-security/commit/a8c4d6ceada54d150ab21b6489b5c9d1c657b889

https://spring.io/security/cve-2024-38827