☠️ Spring WebFlux Security 보안 권고

Spring WebFlux 에서 Spring Security 를 사용하여 URL 경로에 따른 Access Rule 을 설정할 경우 케이스에 따라 의도한대로 동작이 안될 수 있다고 합니다. 이러한 취약점이 발생하는 버전은 업그레이드 혹은 문제가 발생할 수 있는 케이스를 수정 하는것을 권장하는 Spring 보안 권고가 올라와 공유드립니다. 📌 영향을 받는 Spring Security 버전 - 6.1.0 ~ 6.1.1 - 6.0.0 ~ 6.0.4 - 5.8.0 ~ 5.8.4 - 5.7.0 ~ 5.7.9 - 5.6.0 ~ 5.6.11 📌 개선된 Spring Security 버전 - 6.1.2+ - 6.0.5+ - 5.8.5+ - 5.7.10+ - 5.6.12+ 📌 권장되는 Spring Framework 버전 - 6.0.11+ - 5.3.29+ - 5.2.25+ 📌 문제가 발생할 수 있는 케이스 수정 방법 pathMatchers 를 통해 URL 을 정의할 경우 반드시 선행 슬래시(/)를 정의해야합니다. - 잘못된 설정: pathMatchers("admin/**") - 올바른 설정: pathMatchers("/admin/**") Spring WebFlux 에서 Security 를 사용하고 계실 경우 혹시 취약점이 있는 버전을 사용하고 계시진 않은지 확인해보세요. 📚 Reference - Spring Security Advisories: https://spring.io/security/cve-2023-34034 - JFrog Report: https://jfrog.com/blog/spring-webflux-cve-2023-34034-write-up-and-proof-of-concept/