Spring Security, CVE 취약점 해결 릴리스
스프링 시큐리티(Spring Security) 6.5.10, 7.0.5, 7.1.0-RC1 버전 출시를 통해 보안 취약점(CVE) 해결
CVE-2026-22746, CVE-2026-22747 등 다수의 CVE(Common Vulnerabilities and Exposures)를 포함하며 보안 취약점 패치(Security Patch) 적용
7.1.0-RC1 릴리스의 주요 기능은 'What's New in Spring Security 7.1' 페이지에서 확인 가능하며, 상세 변경 사항(Changelogs) 제공
CVE(Common Vulnerabilities and Exposures)란 무엇인가?
CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 보안 취약점(Security Vulnerabilities)에 대한 표준화된 식별자이다.
각 CVE는 고유한 ID(ID)를 가지며, 취약점의 심각도(Severity), 영향받는 시스템(Affected Systems), 해결 방법(Mitigation) 등 상세 정보를 포함
본 릴리스는 CVE-2026-22746, CVE-2026-22747 등 다수의 CVE를 해결하여 보안(Security) 강화
개발자는 CVE 정보를 통해 자사 시스템의 취약점을 파악하고, 패치(Patch) 적용을 통해 보안 사고를 예방해야 한다.
DaoAuthenticationProvider의 사용자 속성 열거 취약점
CVE-2026-22746은 DaoAuthenticationProvider 사용 시 사용자 속성 열거(User Attribute Enumeration)가 가능한 취약점을 다룬다.
공격자는 이 취약점을 통해 사용자 계정 정보(User Account Information)를 획득하고, 무차별 대입 공격(Brute-force Attack)을 시도할 수 있음
해결책: DaoAuthenticationProvider 설정을 강화하거나, 계정 잠금(Account Lockout) 기능을 도입하여 무단 접근 시도를 차단
본 릴리스는 이 취약점을 해결하여 사용자 인증(User Authentication) 과정의 보안성을 높였다.
Spring Security 5.7.x, 5.8.x, 6.3.x, 6.4.x 지원 종료
스프링 시큐리티(Spring Security) 5.7.x, 5.8.x, 6.3.x, 6.4.x 버전의 오픈 소스 지원이 종료됨에 따라, 최신 버전(Latest Version)으로의 업그레이드가 권장된다.
지원 종료된 버전은 더 이상 보안 패치(Security Patch)를 제공받지 못하므로, 보안 취약점(Security Vulnerabilities)에 노출될 위험이 있음
상용 고객(Commercial Customers)은 5.7.23, 5.8.25, 6.3.16, 6.4.16 버전으로 업데이트 가능하며, Spring Enterprise Subscription 필요
최신 버전으로 업그레이드하여 보안(Security) 강화 및 새로운 기능(New Features)을 활용하는 것이 바람직하다.
