Spring Security 大小写敏感比较授权绕过漏洞分析 (CVE-2024-38827)

漏洞描述

该漏洞源于在不同语言环境下字符串大小写转换的不一致性，可能导致授权绕过问题。具体表现为：

• 不同语言环境中 String.toLowerCase() 和 String.toUpperCase() 方法的结果不一致
• 例如在英文环境中 i 的大写为 I，而在土耳其语环境中 i 的大写为 İ
• 这种不一致性可能导致安全比较逻辑被绕过

漏洞原理分析

大小写转换的语言环境差异

核心问题在于 Java 字符串大小写转换方法对语言环境的敏感性：

// 英文环境下
"i".toUpperCase() → "I"

// 土耳其语环境下
"i".toUpperCase() → "İ"

Spring Security 的修复方式

Spring Security 在 InMemoryUserDetailsManager 的 createUser 方法中进行了修复：

1. 在对用户名进行小写处理时严格限制了本地化方案
2. 确保在不同语言环境下大小写转换结果一致

漏洞利用场景分析

场景一：用户创建覆盖

假设系统有以下逻辑：

1. 启动时创建默认用户（如 useri）
2. 提供动态添加用户功能
3. 攻击者尝试添加用户 userİ（土耳其语环境下小写为 useri）

但实际上由于 userExists 方法会对输入进行小写处理，会检测到用户已存在，无法覆盖。

场景二：权限比较绕过

更危险的场景是权限比较：

1. 系统存储管理员账户为 ADMIN
2. 开发者在 ASCII 标准下进行大小写转换比较
3. 在土耳其语环境下：
   • 用户输入 admin → 转换为 ADMİN
   • 与 ADMIN 比较结果为 false
   • 导致拒绝访问或可能的权限绕过

实际利用条件

该漏洞实际利用需要满足特定条件：

1. 系统语言环境发生变化但仍使用旧数据
2. 存在特定语言环境下的特殊字符转换
3. 安全比较逻辑依赖大小写转换

防御措施

1. 使用固定语言环境进行大小写转换：

   string.toLowerCase(Locale.ENGLISH);
   string.toUpperCase(Locale.ENGLISH);
   

2. 避免依赖大小写转换进行安全比较
3. 使用 equalsIgnoreCase() 方法时注意语言环境问题
4. 升级到修复版本的 Spring Security

相关漏洞

• CVE-2024-38829: Spring LDAP 敏感数据暴露问题，同样源于大小写敏感比较问题

总结

虽然该漏洞在实际利用中条件较为苛刻，但它揭示了国际化应用程序中一个重要的安全考虑点。开发者在实现安全逻辑时应当：

1. 明确处理字符串比较的语言环境
2. 避免依赖可能受语言环境影响的操作进行安全决策
3. 对用户输入进行规范化处理