漏洞信息(CVE-2022-22978)

漏洞详情： CVE-2022-22978

漏洞标题

NVD 暂无描述信息

来源：NVD

VMware Spring Security 授权问题漏洞

来源：CNNVD

漏洞描述

In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatcher can easily be misconfigured to be bypassed on some servlet containers. Applications using RegexRequestMatcher with `.` in the regular expression are possibly vulnerable to an authorization bypass.

来源：NVD

VMware Spring Security是美国威睿（VMware）公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 存在授权问题漏洞，该漏洞源于在应用程序中使用 RegexRequestMatcher 以及正则表达式的通配符（.）处理不受信任的输入时存在输入验证错误。

来源：CNNVD

在Spring安全版本5.4.11+之前、5.5.7+、5.6.4+或 unsupported 版本中，RegexRequestMatcher可以轻松地被配置错误，在某些Servlet容器上被绕过。使用在 Regular Expression 中包含 `.` 的应用可能会受到授权绕过的威胁。

来源：神龙机器人

漏洞评分(CVSS)

NVD 暂无评分

来源：NVD

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：神龙机器人, 准确率：N/A

漏洞类别

授权机制不正确

来源：NVD

授权问题

来源：CNNVD

情报信息

0x1 POC 情报

CVE-2022-22978 Spring-Security bypass Demo

详情: https://github.com/DeEpinGh0st/CVE-2022-22978

None

来源：POC-IN-GITHUB

0x2 POC 情报

PoC of CVE-2022-22978 vulnerability in Spring Security framework

详情: https://github.com/ducluongtran9121/CVE-2022-22978-PoC

None

来源：POC-IN-GITHUB

0x3 POC 情报

CVE-2022-22978 POC Project

详情: https://github.com/aeifkz/CVE-2022-22978

None

来源：POC-IN-GITHUB

0x4 POC 情报

None

详情: https://github.com/umakant76705/CVE-2022-22978

None

来源：POC-IN-GITHUB

0x5 POC 情报

None

详情: https://github.com/Raghvendra1207/CVE-2022-22978

None

来源：POC-IN-GITHUB

0x6 POC 情报

None

详情: https://github.com/mukeshkumar286/spring-security-CVE-2022-22978

None

来源：POC-IN-GITHUB

0x7 POC 情报

None

详情: https://github.com/mukeshkumar286/spring-security-CVE-2022-22978-Jar

None

来源：POC-IN-GITHUB

0x8 POC 情报

CVE-2022-22978漏洞实例代码

详情: https://github.com/wan9xx/CVE-2022-22978-demo

None

来源：POC-IN-GITHUB

漏洞详情： CVE-2022-22978

漏洞标题

漏洞描述

漏洞评分(CVSS)

漏洞类别

情报信息

相关链接