【安全漏洞公告】Spring Session信息泄露漏洞(CVE-2023-20866)
一、漏洞簡介
|
CVE ID
|
CVE-2023-20866
|
公開日期
|
2023-04-14
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
����
Spring Session是Spring的一個項目,它提供了用于管理用戶會話信息的API和實現,在 3.0.0 版本中,當使用HeaderHttpSessionIdResolver(基于請求頭解析sessionId)時,Session ID可以被記錄到標準輸出流中,有權訪問應用程序日志的威脅者可以利用該漏洞獲取敏感信息,并用于會話劫持攻擊。
二、影響范圍
Spring Session 版本:3.0.0
三、解決措施
當前官方已發布最新版本,建議受影響的用戶及時更新升級到最新版本。
//spring.io/security/cve-2023-20866
四、參考鏈接
//spring.io/security/cve-2023-20866
//cxsecurity.com/cveshow/CVE-2023-20866/
