CVE-2023-34035 PoC — Spring Security 安全漏洞

Source

https://github.com/jzheaux/cve-2023-34035-mitigations
Associated Vulnerability

Title:Spring Security 安全漏洞 (CVE-2023-34035)
Description:VMware Spring Security是美国威睿（VMware）公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 Spring Security存在安全漏洞，该漏洞源于使用多个Servlet时会导致授权规则配置错误。受影响的产品和版本：Spring Security 5.8.5之前的5.8版本，6.0.5之前的6.0版本， 6.1.2之前的6.1版本。
File Snapshot


 [4.0K]  /data/pocs/75a174e4410334883241243fe00232c7dae1dd1e
├── [ 948]  build.gradle
├── [4.0K]  gradle
│   └── [4.0K]  wrapper
│       ├── [ 59K]  gradle-wrapper.jar
│       └── [ 202]  gradle-wrapper.properties
├── [ 126]  gradle.properties
├── [8.0K]  gradlew
├── [2.8K]  gradlew.bat
├── [9.4K]  README.adoc
├── [4.0K]  servlet
│   ├── [4.0K]  java-configuration
│   │   ├── [4.0K]  dispatcher-servlet-path
│   │   │   ├── [1.2K]  build.gradle
│   │   │   ├── [4.0K]  gradle
│   │   │   │   ├── [1.5K]  gretty.gradle
│   │   │   │   └── [4.0K]  wrapper
│   │   │   │       ├── [ 59K]  gradle-wrapper.jar
│   │   │   │       └── [ 202]  gradle-wrapper.properties
│   │   │   ├── [ 163]  gradle.properties
│   │   │   ├── [8.0K]  gradlew
│   │   │   ├── [2.8K]  gradlew.bat
│   │   │   ├── [   1]  settings.gradle
│   │   │   └── [4.0K]  src
│   │   │       ├── [4.0K]  integTest
│   │   │       │   └── [4.0K]  java
│   │   │       │       └── [4.0K]  example
│   │   │       │           ├── [1.3K]  DispatcherServletPathTests.java
│   │   │       │           └── [4.0K]  pages
│   │   │       │               ├── [1003]  LoginPage.java
│   │   │       │               └── [1.5K]  UnauthorizedPage.java
│   │   │       └── [4.0K]  main
│   │   │           ├── [4.0K]  java
│   │   │           │   └── [4.0K]  example
│   │   │           │       ├── [ 832]  ApplicationConfiguration.java
│   │   │           │       ├── [1.4K]  MvcWebApplicationInitializer.java
│   │   │           │       ├── [2.0K]  SecurityConfiguration.java
│   │   │           │       ├── [ 955]  SecurityWebApplicationInitializer.java
│   │   │           │       └── [ 939]  WebMvcConfiguration.java
│   │   │           ├── [4.0K]  resources
│   │   │           │   └── [ 281]  logback.xml
│   │   │           └── [4.0K]  webapp
│   │   │               ├── [ 154]  index.jsp
│   │   │               └── [4.0K]  META-INF
│   │   │                   └── [  25]  MANIFEST.MF
│   │   ├── [4.0K]  jetty
│   │   │   ├── [1.2K]  build.gradle
│   │   │   ├── [4.0K]  gradle
│   │   │   │   ├── [1.5K]  gretty.gradle
│   │   │   │   └── [4.0K]  wrapper
│   │   │   │       ├── [ 59K]  gradle-wrapper.jar
│   │   │   │       └── [ 202]  gradle-wrapper.properties
│   │   │   ├── [ 163]  gradle.properties
│   │   │   ├── [8.0K]  gradlew
│   │   │   ├── [2.8K]  gradlew.bat
│   │   │   ├── [   1]  settings.gradle
│   │   │   └── [4.0K]  src
│   │   │       ├── [4.0K]  integTest
│   │   │       │   └── [4.0K]  java
│   │   │       │       └── [4.0K]  example
│   │   │       │           ├── [1.3K]  JettyTests.java
│   │   │       │           └── [4.0K]  pages
│   │   │       │               ├── [1003]  LoginPage.java
│   │   │       │               └── [1.5K]  UnauthorizedPage.java
│   │   │       └── [4.0K]  main
│   │   │           ├── [4.0K]  java
│   │   │           │   └── [4.0K]  example
│   │   │           │       ├── [ 832]  ApplicationConfiguration.java
│   │   │           │       ├── [1.4K]  MvcWebApplicationInitializer.java
│   │   │           │       ├── [2.0K]  SecurityConfiguration.java
│   │   │           │       ├── [ 955]  SecurityWebApplicationInitializer.java
│   │   │           │       └── [ 939]  WebMvcConfiguration.java
│   │   │           ├── [4.0K]  resources
│   │   │           │   └── [ 281]  logback.xml
│   │   │           └── [4.0K]  webapp
│   │   │               ├── [ 154]  index.jsp
│   │   │               └── [4.0K]  META-INF
│   │   │                   └── [  25]  MANIFEST.MF
│   │   ├── [4.0K]  other-servlets
│   │   │   ├── [1.2K]  build.gradle
│   │   │   ├── [4.0K]  gradle
│   │   │   │   ├── [1.5K]  gretty.gradle
│   │   │   │   └── [4.0K]  wrapper
│   │   │   │       ├── [ 59K]  gradle-wrapper.jar
│   │   │   │       └── [ 202]  gradle-wrapper.properties
│   │   │   ├── [ 163]  gradle.properties
│   │   │   ├── [8.0K]  gradlew
│   │   │   ├── [2.8K]  gradlew.bat
│   │   │   ├── [   1]  settings.gradle
│   │   │   └── [4.0K]  src
│   │   │       ├── [4.0K]  integTest
│   │   │       │   └── [4.0K]  java
│   │   │       │       └── [4.0K]  example
│   │   │       │           ├── [1.3K]  OtherServletsTests.java
│   │   │       │           └── [4.0K]  pages
│   │   │       │               ├── [1003]  LoginPage.java
│   │   │       │               └── [1.5K]  UnauthorizedPage.java
│   │   │       └── [4.0K]  main
│   │   │           ├── [4.0K]  java
│   │   │           │   └── [4.0K]  example
│   │   │           │       ├── [ 832]  ApplicationConfiguration.java
│   │   │           │       ├── [1.4K]  MvcWebApplicationInitializer.java
│   │   │           │       ├── [1.3K]  MyServlet.java
│   │   │           │       ├── [2.0K]  SecurityConfiguration.java
│   │   │           │       ├── [ 956]  SecurityWebApplicationInitializer.java
│   │   │           │       └── [ 939]  WebMvcConfiguration.java
│   │   │           ├── [4.0K]  resources
│   │   │           │   └── [ 281]  logback.xml
│   │   │           └── [4.0K]  webapp
│   │   │               ├── [ 154]  index.jsp
│   │   │               └── [4.0K]  META-INF
│   │   │                   └── [  25]  MANIFEST.MF
│   │   ├── [4.0K]  tomcat
│   │   │   ├── [1.2K]  build.gradle
│   │   │   ├── [4.0K]  gradle
│   │   │   │   ├── [1.5K]  gretty.gradle
│   │   │   │   └── [4.0K]  wrapper
│   │   │   │       ├── [ 59K]  gradle-wrapper.jar
│   │   │   │       └── [ 202]  gradle-wrapper.properties
│   │   │   ├── [ 163]  gradle.properties
│   │   │   ├── [8.0K]  gradlew
│   │   │   ├── [2.8K]  gradlew.bat
│   │   │   ├── [   1]  settings.gradle
│   │   │   └── [4.0K]  src
│   │   │       ├── [4.0K]  integTest
│   │   │       │   └── [4.0K]  java
│   │   │       │       └── [4.0K]  example
│   │   │       │           ├── [4.0K]  pages
│   │   │       │           │   ├── [1003]  LoginPage.java
│   │   │       │           │   └── [1.5K]  UnauthorizedPage.java
│   │   │       │           └── [1.3K]  TomcatTests.java
│   │   │       └── [4.0K]  main
│   │   │           ├── [4.0K]  java
│   │   │           │   └── [4.0K]  example
│   │   │           │       ├── [ 832]  ApplicationConfiguration.java
│   │   │           │       ├── [1.4K]  MvcWebApplicationInitializer.java
│   │   │           │       ├── [2.0K]  SecurityConfiguration.java
│   │   │           │       ├── [1.0K]  SecurityWebApplicationInitializer.java
│   │   │           │       └── [ 939]  WebMvcConfiguration.java
│   │   │           ├── [4.0K]  resources
│   │   │           │   └── [ 342]  logback.xml
│   │   │           └── [4.0K]  webapp
│   │   │               ├── [ 154]  index.jsp
│   │   │               └── [4.0K]  META-INF
│   │   │                   └── [  25]  MANIFEST.MF
│   │   └── [4.0K]  two-dispatcher-servlets
│   │       ├── [1.2K]  build.gradle
│   │       ├── [4.0K]  gradle
│   │       │   ├── [1.5K]  gretty.gradle
│   │       │   └── [4.0K]  wrapper
│   │       │       ├── [ 59K]  gradle-wrapper.jar
│   │       │       └── [ 202]  gradle-wrapper.properties
│   │       ├── [ 163]  gradle.properties
│   │       ├── [8.0K]  gradlew
│   │       ├── [2.8K]  gradlew.bat
│   │       ├── [   1]  settings.gradle
│   │       └── [4.0K]  src
│   │           ├── [4.0K]  integTest
│   │           │   └── [4.0K]  java
│   │           │       └── [4.0K]  example
│   │           │           ├── [4.0K]  pages
│   │           │           │   ├── [1003]  LoginPage.java
│   │           │           │   └── [1.5K]  UnauthorizedPage.java
│   │           │           └── [1.3K]  TwoDispatcherServletsTests.java
│   │           └── [4.0K]  main
│   │               ├── [4.0K]  java
│   │               │   └── [4.0K]  example
│   │               │       ├── [ 832]  ApplicationConfiguration.java
│   │               │       ├── [1.4K]  MvcWebApplicationInitializer.java
│   │               │       ├── [2.0K]  SecurityConfiguration.java
│   │               │       ├── [ 955]  SecurityWebApplicationInitializer.java
│   │               │       └── [ 939]  WebMvcConfiguration.java
│   │               ├── [4.0K]  resources
│   │               │   └── [ 281]  logback.xml
│   │               └── [4.0K]  webapp
│   │                   ├── [ 154]  index.jsp
│   │                   └── [4.0K]  META-INF
│   │                       └── [  25]  MANIFEST.MF
│   └── [4.0K]  spring-boot
│       └── [4.0K]  java
│           ├── [4.0K]  dispatcher-servlet-path
│           │   ├── [ 774]  build.gradle
│           │   ├── [4.0K]  gradle
│           │   │   └── [4.0K]  wrapper
│           │   │       ├── [ 59K]  gradle-wrapper.jar
│           │   │       └── [ 202]  gradle-wrapper.properties
│           │   ├── [ 144]  gradle.properties
│           │   ├── [8.0K]  gradlew
│           │   ├── [2.8K]  gradlew.bat
│           │   ├── [   1]  settings.gradle
│           │   └── [4.0K]  src
│           │       ├── [4.0K]  integTest
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [1.5K]  DispatcherServletPathITests.java
│           │       │           └── [4.0K]  pages
│           │       │               ├── [1003]  LoginPage.java
│           │       │               └── [1.5K]  UnauthorizedPage.java
│           │       ├── [4.0K]  main
│           │       │   ├── [4.0K]  java
│           │       │   │   └── [4.0K]  example
│           │       │   │       ├── [1017]  DispatcherServletPathApplication.java
│           │       │   │       ├── [ 922]  IndexController.java
│           │       │   │       └── [2.0K]  SecurityConfiguration.java
│           │       │   └── [4.0K]  resources
│           │       │       └── [  73]  application.properties
│           │       └── [4.0K]  test
│           │           └── [4.0K]  java
│           │               └── [4.0K]  example
│           │                   └── [1.6K]  DispatcherServletPathApplicationTests.java
│           ├── [4.0K]  jetty
│           │   ├── [1.1K]  build.gradle
│           │   ├── [4.0K]  gradle
│           │   │   └── [4.0K]  wrapper
│           │   │       ├── [ 59K]  gradle-wrapper.jar
│           │   │       └── [ 202]  gradle-wrapper.properties
│           │   ├── [ 144]  gradle.properties
│           │   ├── [8.0K]  gradlew
│           │   ├── [2.8K]  gradlew.bat
│           │   ├── [   1]  settings.gradle
│           │   └── [4.0K]  src
│           │       ├── [4.0K]  integTest
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [1.5K]  JettyITests.java
│           │       │           └── [4.0K]  pages
│           │       │               ├── [1003]  LoginPage.java
│           │       │               └── [1.5K]  UnauthorizedPage.java
│           │       ├── [4.0K]  main
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [ 922]  IndexController.java
│           │       │           ├── [ 985]  JettyApplication.java
│           │       │           └── [2.0K]  SecurityConfiguration.java
│           │       └── [4.0K]  test
│           │           └── [4.0K]  java
│           │               └── [4.0K]  example
│           │                   └── [1.4K]  JettyApplicationTests.java
│           ├── [4.0K]  other-servlets
│           │   ├── [ 774]  build.gradle
│           │   ├── [4.0K]  gradle
│           │   │   └── [4.0K]  wrapper
│           │   │       ├── [ 59K]  gradle-wrapper.jar
│           │   │       └── [ 202]  gradle-wrapper.properties
│           │   ├── [ 144]  gradle.properties
│           │   ├── [8.0K]  gradlew
│           │   ├── [2.8K]  gradlew.bat
│           │   ├── [   1]  settings.gradle
│           │   └── [4.0K]  src
│           │       ├── [4.0K]  integTest
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [1.5K]  OtherServletsITests.java
│           │       │           └── [4.0K]  pages
│           │       │               ├── [1003]  LoginPage.java
│           │       │               └── [1.5K]  UnauthorizedPage.java
│           │       ├── [4.0K]  main
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [ 979]  IndexController.java
│           │       │           ├── [1.1K]  MyServlet.java
│           │       │           ├── [1.2K]  OtherServletsApplication.java
│           │       │           └── [2.0K]  SecurityConfiguration.java
│           │       └── [4.0K]  test
│           │           └── [4.0K]  java
│           │               └── [4.0K]  example
│           │                   └── [1.5K]  OtherServletsApplicationTests.java
│           ├── [4.0K]  tomcat
│           │   ├── [ 774]  build.gradle
│           │   ├── [4.0K]  gradle
│           │   │   └── [4.0K]  wrapper
│           │   │       ├── [ 59K]  gradle-wrapper.jar
│           │   │       └── [ 202]  gradle-wrapper.properties
│           │   ├── [ 144]  gradle.properties
│           │   ├── [8.0K]  gradlew
│           │   ├── [2.8K]  gradlew.bat
│           │   ├── [   1]  settings.gradle
│           │   └── [4.0K]  src
│           │       ├── [4.0K]  integTest
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [4.0K]  pages
│           │       │           │   ├── [1003]  LoginPage.java
│           │       │           │   └── [1.5K]  UnauthorizedPage.java
│           │       │           └── [1.5K]  TomcatITests.java
│           │       ├── [4.0K]  main
│           │       │   └── [4.0K]  java
│           │       │       └── [4.0K]  example
│           │       │           ├── [ 922]  IndexController.java
│           │       │           ├── [2.0K]  SecurityConfiguration.java
│           │       │           └── [ 987]  TomcatApplication.java
│           │       └── [4.0K]  test
│           │           └── [4.0K]  java
│           │               └── [4.0K]  example
│           │                   └── [1.4K]  TomcatApplicationTests.java
│           └── [4.0K]  undertow
│               ├── [ 934]  build.gradle
│               ├── [4.0K]  gradle
│               │   └── [4.0K]  wrapper
│               │       ├── [ 59K]  gradle-wrapper.jar
│               │       └── [ 202]  gradle-wrapper.properties
│               ├── [ 144]  gradle.properties
│               ├── [8.0K]  gradlew
│               ├── [2.8K]  gradlew.bat
│               ├── [   1]  settings.gradle
│               └── [4.0K]  src
│                   ├── [4.0K]  integTest
│                   │   └── [4.0K]  java
│                   │       └── [4.0K]  example
│                   │           ├── [4.0K]  pages
│                   │           │   ├── [1003]  LoginPage.java
│                   │           │   └── [1.5K]  UnauthorizedPage.java
│                   │           └── [1.5K]  UndertowITests.java
│                   ├── [4.0K]  main
│                   │   └── [4.0K]  java
│                   │       └── [4.0K]  example
│                   │           ├── [ 922]  IndexController.java
│                   │           ├── [2.0K]  SecurityConfiguration.java
│                   │           └── [ 991]  UndertowApplication.java
│                   └── [4.0K]  test
│                       └── [4.0K]  java
│                           └── [4.0K]  example
│                               └── [1.4K]  UndertowApplicationTests.java
└── [ 835]  settings.gradle

147 directories, 176 files
Shenlong Bot has cached this for you
Remarks

1. It is advised to access via the original source first.
2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).
3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.
Goal Reached Thanks to every supporter — we hit 100%!

CVE-2023-34035 PoC — Spring Security 安全漏洞

Source

Associated Vulnerability

File Snapshot

Remarks
