Описание
Spring Security has a broken timing attack mitigation implemented in DaoAuthenticationProvide
The fix applied in CVE-2025-22228 inadvertently broke the timing attack mitigation implemented in DaoAuthenticationProvider. This can allow attackers to infer valid usernames or other authentication behavior via response-time differences under certain configurations.
Пакеты
Наименование
org.springframework.security:spring-security-core
maven
Затронутые версииВерсия исправления
= 6.3.8
6.3.9
Наименование
org.springframework.security:spring-security-core
maven
Затронутые версииВерсия исправления
= 6.4.4
6.4.5
Связанные уязвимости
CVSS3: 5.3
fstec
10 месяцев назад
Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с нарушением механизма защиты данных, позволяющая нарушителю оказать воздействие на целостность защищаемой информации