一、基本情況

Spring Session是Spring的一個(gè)項(xiàng)目，它提供了用于管理用戶(hù)會(huì)話(huà)信息的API和實(shí)現(xiàn)。

二、漏洞描述

Spring Session 3.0.0 版本中，當(dāng)使用 HeaderHttpSessionIdResolver（基于請(qǐng)求頭解析sessionId）時(shí)，Session ID可以被記錄到標(biāo)準(zhǔn)輸出流中，有權(quán)訪(fǎng)問(wèn)應(yīng)用程序日志的威脅者可以利用該漏洞獲取敏感信息，并用于會(huì)話(huà)劫持攻擊。

三、影響范圍

Spring Session 版本：3.0.0

四、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到以下版本：

Spring Session 版本：3.0.1

下載鏈接：https://github.com/spring-projects/spring-session/releases/tag/3.0.1

注：不使用 HeaderHttpSessionIdResolver的應(yīng)用程序不易受到攻擊。

五、參考鏈接

https://spring.io/security/cve-2023-20866

https://nvd.nist.gov/vuln/detail/CVE-2023-20866