一、漏洞简介

Spring Session是Spring的一个项目，它提供了用于管理用户会话信息的API和实现，在 3.0.0 版本中，当使用HeaderHttpSessionIdResolver（基于请求头解析sessionId）时，Session ID可以被记录到标准输出流中，有权访问应用程序日志的威胁者可以利用该漏洞获取敏感信息，并用于会话劫持攻击。

二、影响范围

Spring Session 版本：3.0.0

三、解决措施

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

https://spring.io/security/cve-2023-20866

四、参考链接

https://spring.io/security/cve-2023-20866

https://cxsecurity.com/cveshow/CVE-2023-20866/