تم تحاوز قيود Spring Security DOUBLE WHAMMY بحيث يمكن للمهاجم التسلل عبر نظامك كانه شيئا لم يكن .
اكتشاف ثغرة أمنية في Spring Framework تتعلق بمعالجة طلبات HTTP في تطبيقات الويب. يمكن للمهاجم أن يستغل هذه الثغرة بإرسال طلبات معدة بعناية ليتجاوز آليات التحقق من الصلاحيات، مما قد يسمح له بالوصول غير المصرح به إلى بعض الموارد في تطبيقك. الثغرة تحدث بسبب سوء التعامل مع معلمات الإدخال في وحدات التحكم (Controllers) عندما تستخدم تعليمات معينة في Spring MVC.
المنتج المتأثر: Spring Framework
الإصدارات المتأثرة:
من 6.2.0 إلى 6.2.1
من 6.1.0 إلى 6.1.13
من 6.0.0 إلى 6.0.18
من 5.3.0 إلى 5.3.38
الإصدارات الأقدم غير المدعومة
تاريخ النشر: 2025-03-20
الخطورة: متوسطة (CVSS: 5.4)
وصف المشكلة:
التأثير:
قد تتيح هذه الثغرة للمهاجم الوصول إلى بيانات أو وظائف ليست من حقه الوصول إليها، لكنها تحتاج إلى شروط معينة مثل تكوين غير آمن لتطبيقك أو تفاعل من المستخدم. لا يمكن استغلالها عن بُعد مباشرة دون عوامل مساعدة.
الحل:
أنصحك بترقية تطبيقك إلى إحدى الإصدارات التالية من Spring Framework:
6.2.2
6.1.14
6.0.19
5.3.39
وإذا لم تتمكن من الترقية الآن، أنصحك بتطبيق تصحيحات يدوية من خلال التحقق من صحة الإدخال وتأمين وحدات التحكم في تطبيقك.
المراجع:
رابط إلى إعلان Spring الرسمي
الرابط الثاني
ملاحظات إضافية:
أنصحك بمراجعة تكوينات تطبيقك والتأكد من تحديث جميع التبعيات لتتجنب أي مخاطر مرتبطة بهذه الثغرة.
وجدت هذه المقالة مثيرة للاهتمام؟ شاركها مع اصدقائك .. لا تنسى متابعتي على منصات التواصل الاجتماعي.. https://shreateh.net/links
