众至科技发布11月漏洞通告 | OpenSSL缓冲区溢出漏洞；Spring Security 绕过授权漏洞

最新推荐文章于 2025-10-02 23:30:10 发布

原创

最新推荐文章于 2025-10-02 23:30:10 发布 · 733 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

本文通告了OpenSSL的两个缓冲区溢出漏洞（CVE-2022-3602和CVE-2022-3786）和Spring Security的授权绕过漏洞。OpenSSL漏洞可能导致拒绝服务或远程代码执行，影响3.0.0 - 3.0.6版本，建议升级至3.0.7。Spring Security漏洞影响5.7.0至5.7.4及5.6.0至5.6.8版本，推荐升级至5.7.5或5.6.9以上以确保安全。

【漏洞通告】 OpenSSL缓冲区溢出漏洞

1.基础信息

CVE	CVE-2022-3602
等级	高危
类型	缓冲区溢出

2.漏洞详情

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

众至科技技术开放区

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

网络安全：Spring框架漏洞总结（一）

2201_75857562的博客

01-13

404

Spring是Java EE编程领域的一个轻量级开源框架，该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建，是为了解决企业级编程开发中的复杂性，业务逻辑层和其他各层的松耦合问题，因此它将面向接口的编程思想贯穿整个系统应用，实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构，分层架构允许使用者选择使用哪一个组件，同时为J2EE应用程序开发提供集成的框架。

Spring Security(学习笔记)--漏洞保护（csrf攻击与防御以及源码分析）！

TONGZHOUGONGDU的博客

04-29

746

CSRF是什么，跨站请求伪造，简单解释一下，就是用户登录某个界面，如银行界面，进行转账，完了之后并没有注销登录，而是打开一新的页面，在页面上点击了某个攻击者设下的链接，那么这个链接，就可以带着浏览器存储的cookie，发送给银行服务器，由于已经认证过了，所以银行服务器以为是用户自己的操作，就达成了攻击者的目的。我们登录第一个项目，然后点击转账，后台会出现模拟转账的打印，然后，进入第二个项目的界面，直接点那张具备诱惑力的图片，然后，就会发现，项目一，依然打印了转账的操作日志，这个就是跨站请求伪造。

参与评论您还未登录，请先登录后发表或查看评论

C11期作业22（08.16）

程设+安全+架构

09-01

1052

【代码】C11期作业22（08.16）

springboot版本升级，及解决springsecurity漏洞问题

喜羊羊love红太狼

05-06

2566

项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞（CVE-2022-22978）漏洞问题，并且需要将项目的版本整体升级到boot版本2.1.7，升级改造过程非常的痛苦，一方面对整个框架的代码不是很熟悉，另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去，此类问题经常是idea，什么缓存，或者是pom依赖下载不全导致，然后就陷入了这个误区，一直以为是idea的问题，然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。

spring security 漏洞保护

LCY133的博客

04-09

1181

/ 自定义失败处理。等多维度机制，覆盖了 OWASP Top 10 中的主要漏洞类型。（依赖 JPA/MyBatis 等 ORM 框架）。：强制使用强哈希算法（如 BCrypt）。Spring Security 通过。：限制连续登录失败次数。

Spring Security入门3：Web应用程序中的常见安全漏洞

Designer 小郑的技术博客

11-14

1753

安全漏洞是指在计算机系统、网络系统或软件程序中存在的错误、缺陷或漏洞，可能被恶意攻击者利用，导致系统被入侵、数据泄露或服务被破坏。安全漏洞可以存在于操作系统、应用程序、网络协议、数据库系统等各个层面。攻击者可以利用这些漏洞来获取非法访问权限、执行恶意代码、篡改数据或者拒绝服务等。安全漏洞的发现和修补是保障系统安全的重要工作，而及时更新和修复已知的漏洞是保持系统安全的基本措施。

[240628] Google Gemma 2 models (9B and 27B) | Ollama 发布 v0.1.47 | OpenSSl 缓冲区溢出漏洞（CVE-2024-5535）

edwinjhlee的博客

06-28

1195

- Google Gemma 2 models (9B and 27B) - 🔥Ollama 发布 v0.1.47 - OpenSSl 缓冲区溢出漏洞（CVE-2024-5535）

缓冲区溢出漏洞全解析

最新发布

埃泽漫笔

10-02

1741

缓冲区溢出的本质是“程序对输入数据的失控”——攻击者利用这种失控篡改内存关键信息，最终实现攻击目标。代码层是根本：使用安全函数、校验输入长度、避免危险语言特性，从源头减少漏洞产生；编译层加防护：启用栈保护、ASLR、DEP，增加攻击利用的难度，让溢出难以成功；系统层筑屏障：最小权限运行、部署IDS、定期更新，即使漏洞存在，也能降低攻击危害。

openssl缓冲区溢出漏洞

05-19

OpenSSL缓冲区溢出漏洞是一种安全漏洞，攻击者可以利用该漏洞来执行恶意代码或导致拒绝服务攻击。该漏洞的原因是在OpenSSL库中，有一些函数没有正确地检查输入缓冲区的大小，导致缓冲区溢出。攻击者可以利用这个...

解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞，升级OpenSSL到OpenSSL 1.0.1g

10-25

近期服务器开放的https的访问，确被安全组扫描出安全漏洞（OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)），为修复该漏洞，升级OpenSSL到OpenSSL 1.0.1g，同时重新编译升级OpenSSH和nginx，在此提供...

Spring Security身份认证绕过漏洞(CVE-2022-22978或CVE-2023-34034)复现

weixin_42786460的博客

12-18

1123

Spring Security身份认证绕过漏洞(CVE-2022-22978或CVE-2023-34034)复现

9.Spring security漏洞保护

EdSheeran的博客

03-21

8890

文章目录*漏洞保护**9.1CSRF攻击与防御**9.1.1CSRF简介**9.1.2CSRF攻击演示**9.1.3CSRF防御**令牌同步模式**`SameSite`**需要注意的问题**9.1.4源码分析**`CsrfToken`**`CsrfTokenRepository`**`CsrfFilter`**`CsrfAuthenticationStrategy`**9.2HTTP响应头处理**9.2.1缓存控制**`Cache-Control`**`Pragma`**`Expires`**9.2.2`X

Spring {Boot,Data,Security} 历史漏洞研究

有价值炮灰

05-01

450

前言上篇文章介绍了 Spring Framework 本身的一些核心技术点以及历史上出现过的几个典型漏洞，在其末尾我们说了，Spring 生态中除了框架本身，还有许多其他流行的项目。这些项目的文档和源码见: spring.io/projects github.com/spring-projects 本文即对其中几个比较知名的项目进行介绍，同时也会对历史上出现过的漏洞进行分析和回顾。 Spring Boot Spring Boot 是 Spring 的核心子项目，主要目的是为了简化新建 Spring

CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考

Q54665642ljf的博客

09-08

7515

在此之前，已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析，它和CVE-2022-22978漏洞产生原理上，本质是一样的。在分析这两个漏洞后，结合今年kcon议题《自动化API漏洞Fuzz实战》，产生了对漏洞挖掘关注点的一些思考。

Spring Security身份认证绕过漏洞风险通告

Trouvailless的博客

05-25

4198

近日，奇安信CERT监测到Spring Security 身份认证绕过漏洞 (CVE-2022-22978) 细节及PoC公开。当Spring Security中使用RegexRequestMatcher进行权限配置，且规则中使用带点号的正则表达式时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。目前，奇安信CERT已复现此漏洞，同时鉴于已有细节及PoC公开，建议客户尽快做好自查，及时更新至最新版本。漏洞名称 Spring Security.

Spring框架常见漏洞

本散修的一些学习心得与笔记，道友请自便。

09-17

1631

本篇文章主要是内容常见Spring漏洞的解析以及理解。

SpringSecurity

Xiaobai_Tang的博客

10-11

314

SpringSecurity 环境搭建在web开发种中，安全第一位！过滤器，拦截器~ 功能性需求：否做网站：安全应该在什么时候考虑？设计之初！漏洞，隐私试漏~ 架构一旦确定~ shiro、SpringSecurity：很像~除了类不一样，名字不一样认证，授权（vip1,vip2,vip3）功能权限访问权限菜单权限 ...拦截器，过滤器：大量的原生代码~ 冗余 MVC--SPRING--SPRINGBOOT---框架思想导入三个依赖jir包 <!--sec

避免缓冲区溢出的方法

penngrove的专栏

09-15

9434

缓冲区溢出一般是由于一下原因导致： 1.字符串处理函数没有指定长度，单单凭借结尾字符是不是'\0'来判断结束。 2.被处理的字符超过缓冲区可接受的大小。例如，从屏幕输入字符串：gets(buff)，但是buff的内存少于屏幕一行字符个数，就会导致溢出，应该使用fgets。 3.所有格式化字符串的函数：fprintf("%n",&num_write)。避免的办法： 1.不要用%n