Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
什么是 Spring WebFlux?
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。
Spring Security是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。
Spring WebFlux是在 Spring 5 中引入的,作为传统Spring Web MVC框架的响应式编程替代方案。
Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。WebFlux 不使用传统的每个请求一个线程的方法,而是利用反应式流 API,该 API 允许使用少量线程同时处理多个请求。
漏洞背景
2023 年 7 月 18 日,Spring Security 发布了包含此安全公告的新版本,这引起了我们的注意,因为这是一个过滤器绕过漏洞。搜索 Spring 的 GitHub 存储库,这是修复提交。
漏洞详细信息
S