https://www.kb.cert.org/vuls/id/475445刚刚被披露。
这会影响Spring Security SAML2吗?
我无法在受影响的API列表中看到XML上使用的Spring Security SAML2解析器。
告诉我们。
答案 0 :(得分:8)
我是Spring Security项目负责人,我已经验证该漏洞利用默认设置对Spring Security SAML不起作用。这也得到了同事的验证。
如果更改默认设置(设置ignoreComments = false),您的应用程序将变得容易受到攻击。
更新:请参阅https://spring.io/blog/2018/03/01/spring-security-saml-and-this-week-s-saml-vulnerability