产品描述：
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

影响产品或组件及版本：
5.7 <= Spring Security <= 5.7.4
5.6 <= Spring Security <= 5.6.8
Spring Security 更早的不受支持的版本

受影响资产情况：
该产品为Spring中认证相关的组件，无法通过资产测绘系统搜索相关资产。

技术细节表述：
Spring Security、5.7.5之前的5.7版本和5.6.9之前的5.6版本以及不受支持的旧版本在某些情况下可能容易受到权限提升的影响。恶意用户或攻击者可以修改客户端（通过浏览器）向授权服务器发起的请求，这可能导致后续批准的权限升级。如果授权服务器使用包含空范围列表（根据RFC 6749，第 5.1 节）的 OAuth2 访问令牌响应对令牌端点的后续请求进行响应以获取访问令牌，则可能会发生这种情况。
此漏洞暴露了满足以下所有要求的应用程序：
扮演登录客户端的角色（例如http.oauth2Login()）
使用一个或多个授权规则，以及从客户端应用程序中的授权范围（例如anyRequest().hasAuthority("SCOPE_message.write")）映射的权限
注册一个以空范围列表响应的授权服务器（根据 RFC 6749，第 5.1 节）
此漏洞不会暴露以下应用程序：
仅充当资源服务器的角色（例如http.oauth2ResourceServer()）
在客户端应用程序中使用权限未映射自授权范围（例如anyRequest().hasAuthority("ROLE_USER")）的授权规则


修补措施：
厂商已发布了漏洞修复程序，受影响版本的用户请尽快更新至以下版本：
5.7.x 用户应升级到 5.7.5
5.6.x 用户应升级到 5.6.9
最新版官方下载链接：
https://github.com/spring-projects/spring-security/releases/tag/5.7.5
https://github.com/spring-projects/spring-security/releases/tag/5.6.9

漏洞来源：
https://vip.riskivy.com/detail/1587205984458248192

注：该漏洞已有CVE漏洞编号，暂无CNNVD漏洞编号