1、产品描述：Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，为应用系统提供声明式的安全访问控制功能。

2、影响产品组件和版本：5.6.0 =< Spring Security <= 5.6.8、5.7.0 =< Spring Security <= 5.7.4、Spring Security 旧的、不受支持的版本

3、受影响情况：第一名美国4888个，第二名中国4292个，第三名韩国670个

6、技术细节：CVE-2022-31690 Spring Security Oauth2 Client权限提升漏洞：该漏洞存在于spring-security-oauth2-client中，恶意攻击者可以通过向服务器发送构造的特殊请求，成功利用此漏洞实现权限提升。

CVE-2022-31692 Spring Security授权规则绕过漏洞：该漏洞存在于Spring Security版本中，恶意攻击者在某些特定情况下，通过FORWARD或INCLUDE调度来绕过授权规则。

7、修补措施:目前Spring官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://github.com/spring-projects/spring-security/tags

8、漏洞来源：https://tanzu.vmware.com/security/cve-2022-31690

https://spring.io/blog/2022/10/31/cve-2022-31690-privilege-escalation-in-spring-security-oauth2-client

https://spring.io/blog/2022/10/31/cve-2022-31692-authorization-rules-can-be-bypassed-via-forward-or-include-in-spring-security