LOWCVE-2019-3795CVSS 3.8

当使用 Spring Security 构建的 SecureRandom 实例时，存在不安全的随机性

Q: 我是否受到 CVE-2019-3795 in Spring Security 的影响?

如果您的应用程序使用 Spring Security 4.2.x 在 4.2.12 之前的版本、5.0.x 在 5.0.12 之前的版本或 5.1.x 在 5.1.5 之前的版本，则可能受到影响。

Q: 如何修复 CVE-2019-3795 in Spring Security?

升级至 Spring Security 5.1.4.RELEASE 或更高版本。如果无法升级，请避免使用 SecureRandomFactoryBean#setSeed 方法。

Q: CVE-2019-3795 是否正在被积极利用?

目前尚无关于该漏洞被大规模利用的报告，但建议尽快修复。

Q: 在哪里可以找到 Spring Security 官方关于 CVE-2019-3795 的公告?

请访问 Spring Security 官方网站或查看 Spring Security 安全公告。

平台

java

组件

spring-security

修复版本

4.2.12.RELEASE

5.0.12.RELEASE

5.1.5.RELEASE

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-3795 是 Spring Security 中发现的不安全随机数漏洞。该漏洞允许攻击者在应用程序使用 SecureRandomFactoryBean#setSeed 配置 SecureRandom 实例时，获取可预测的随机数材料。受影响的版本包括 Spring Security 4.2.x 在 4.2.12 之前的版本、5.0.x 在 5.0.12 之前的版本以及 5.1.x 在 5.1.5 之前的版本。建议升级至 5.1.4.RELEASE 或更高版本以修复此问题。

影响与攻击场景

该漏洞的影响在于攻击者可以预测应用程序生成的随机数。如果应用程序使用这些随机数进行安全相关的操作，例如生成会话 ID、加密密钥或令牌，攻击者可能会利用这些可预测的随机数来破坏应用程序的安全性。例如，攻击者可能能够伪造会话，窃取敏感数据或执行未经授权的操作。该漏洞的严重程度取决于应用程序对随机数的依赖程度以及攻击者获取随机数材料的难易程度。如果应用程序对随机数的依赖程度较高，且攻击者可以轻松获取随机数材料，则该漏洞的影响将更加严重。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。目前尚无关于该漏洞被大规模利用的报告，但由于其潜在影响，建议尽快修复此漏洞。该漏洞未被添加到 CISA KEV 目录中。NVD 发布日期为 2019 年 4 月 9 日。

哪些人处于风险中翻译中…

Applications heavily reliant on Spring Security for authentication and authorization, particularly those that generate cryptographic keys or session IDs using SecureRandomFactoryBean and expose the resulting random data, are at increased risk. Systems using older, unpatched versions of Spring Security (≤5.1.4.RELEASE) are directly vulnerable.

检测步骤翻译中…

• java / server:

# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security'

• java / supply-chain:

# Check for vulnerable dependencies in Maven project
mvn dependency:tree | grep 'spring-security'

• generic web:

# Check for potential seed exposure in application logs
grep -i 'seed=' /var/log/your_application/*.log

攻击时间线

2019-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露仅本地

EPSS

0.55% (68% 百分位)

CVSS 向量

受影响的软件

组件spring-security

供应商Spring

影响范围修复版本

4.2.0 – 4.2.11.RELEASE4.2.12.RELEASE

5.0.0 – 5.0.11.RELEASE5.0.12.RELEASE

5.1.0 – 5.1.4.RELEASE5.1.5.RELEASE

弱点分类 (CWE)

CWE-330

时间线

已保留2019-01-03
发布日期2019-04-09
修改日期2024-09-17
EPSS 更新日期2026-04-02

缓解措施和替代方案

缓解 CVE-2019-3795 的主要方法是升级至 Spring Security 5.1.4.RELEASE 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：避免使用 SecureRandomFactoryBean#setSeed 方法配置 SecureRandom 实例。如果必须使用该方法，请确保提供的种子是真正随机的，并且无法被攻击者预测。此外，可以考虑使用其他随机数生成器，例如 java.security.SecureRandom，该生成器使用操作系统提供的随机数源。升级后，请验证新版本是否已正确部署，并确认随机数生成器已按预期工作。

修复方法

将 Spring Security 版本升级到 4.2.12.RELEASE、5.0.12.RELEASE 或 5.1.5.RELEASE，或更高版本，具体取决于您的项目。这修复了使用 SecureRandom 时不安全的随机性漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2019-3795 — 随机数漏洞 in Spring Security?

CVE-2019-3795 是 Spring Security 中发现的不安全随机数漏洞，影响 4.2.x < 4.2.12, 5.0.x < 5.0.12, 5.1.x < 5.1.5 版本。攻击者可预测随机数，可能导致安全问题。

我是否受到 CVE-2019-3795 in Spring Security 的影响?