MEDIUMCVE-2026-22751CVSS 4.8

Spring Security JdbcOneTimeTokenService 允许一个一次性令牌认证多个会话

平台

java

组件

spring-security

修复版本

6.4.16

6.5.10

7.0.5

6.5.10

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-22751 represents a Time-of-check Time-of-use (TOCTOU) race condition vulnerability discovered in Spring Security. This flaw allows an attacker to potentially bypass authentication mechanisms by exploiting a timing window between verification and execution. The vulnerability impacts Spring Security versions ranging from 6.4.0 through 6.4.15, 6.5.0 through 6.5.9, and 7.0.0 through 7.0.4. A fix is available in version 6.4.16.

影响与攻击场景

CVE-2026-22751 影响使用 Spring Security 的 Spring 应用程序，特别是通过 JdbcOneTimeTokenService 配置一次性令牌 (One-Time Token) 登录的应用程序。这是一种 Time-of-check Time-of-use (TOCTOU) 竞态条件漏洞。攻击者可能利用令牌验证和实际使用之间的短暂时间窗口。如果攻击者能够在这些两个点之间修改数据库，则可能获得未经授权的访问权限。受影响的版本包括 Spring Security：6.4.0 到 6.4.15、6.5.0 到 6.5.9 和 7.0.0 到 7.0.4。根据 CVSS，严重程度为 4.8，表示中等风险。

利用背景

该漏洞通过 TOCTOU 竞态条件进行利用。例如，攻击者可以请求一次性令牌，验证其有效性，然后在令牌用于验证用户之前，修改数据库以使令牌无效或重新使用。这将允许攻击者绕过身份验证并作为合法用户访问系统。利用的复杂性取决于攻击者操纵数据库的能力以及应用程序的配置。

哪些人处于风险中翻译中…

Organizations utilizing Spring Security with JdbcOneTimeTokenService for One-Time Token login are at risk. This includes applications with custom authentication flows or those relying on Spring Security's built-in One-Time Token functionality. Specifically, those using Spring Boot applications with default configurations may be vulnerable if they haven't explicitly upgraded.

检测步骤翻译中…

• java / server:

# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security'

• java / server:

# Examine application logs for authentication failures or unusual token activity
grep -i 'one-time token' /path/to/application.log

• java / supply-chain:

# Check for vulnerable dependencies using Maven or Gradle
# Example using Maven: mvn dependency:tree | grep 'spring-security'

攻击时间线

2026-04-21Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件spring-security

供应商Spring

影响范围修复版本

6.4.0 – 6.4.156.4.16

6.5.0 – 6.5.96.5.10

7.0.0 – 7.0.47.0.5

6.5.06.5.10

时间线

已保留2026-01-09
发布日期2026-04-21
EPSS 更新日期2026-04-29

缓解措施和替代方案

最有效的解决方案是将 Spring Security 升级到 6.4.16 或更高版本、6.5.10 或更高版本或 7.0.5 或更高版本。这些版本包含用于缓解 TOCTOU 竞态条件的修复程序。如果无法立即升级，请考虑采取临时缓解措施，例如限制对存储一次性令牌的数据库的访问、实施更严格的访问控制以及监控应用程序是否存在可疑活动。评估每个应用程序的特定风险并应用最合适的安全措施至关重要。

修复方法翻译中…

Actualice Spring Security a la versión 6.4.16 o superior, 6.5.10 o superior, o 7.0.5 o superior para mitigar la vulnerabilidad TOCTOU en el servicio JdbcOneTimeTokenService.  Esta actualización corrige la condición de carrera que permite la autenticación de múltiples sesiones con un solo token de un solo uso.  Revise la documentación oficial de Spring Security para obtener instrucciones detalladas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-22751 是什么 — Spring Security 中的 Race Condition？

这是一种当检查条件和基于该条件执行的操作之间存在时间窗口时发生的漏洞类型。攻击者可以利用此时间窗口修改条件，从而导致操作以意外的方式执行。

Spring Security 中的 CVE-2026-22751 是否会影响我？

CVSS 量表上的 4.8 分数表示中等风险。这意味着该漏洞可能被利用，但并非易事，并且需要一些技能或访问权限。

如何修复 Spring Security 中的 CVE-2026-22751？

实施临时缓解措施，例如限制对数据库的访问、加强访问控制以及监控应用程序是否存在可疑活动。

CVE-2026-22751 是否正在被积极利用？

不，它仅影响使用 Spring Security 并且专门通过 JdbcOneTimeTokenService 配置一次性令牌登录的应用程序。

在哪里可以找到 Spring Security 关于 CVE-2026-22751 的官方安全通告？

您可以在 Spring Security 发布说明和国家漏洞数据库 (NVD) 等漏洞数据库中找到更多信息。