近日,威尼斯432888camCERT监测到Spring官方发布安全通告,修复了Spring Framework中的一个身份验证绕过漏洞(CVE-2023-20860)。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。该漏洞允许未经身份验证的攻击者可向目标发送构造的特殊请求,从而实现身份验证绕过。目前厂商已发布安全版本,建议受影响用户尽快下载安装以减少漏洞所带来的风险。
Spring Framework是一款基于Java的开源框架,它提供了一组用于开发企业级应用程序的工具和技术。Spring Framework的主要目标是提高Java开发的生产力和简化Java应用程序的开发。Spring Security是Spring Framework的一个模块,它提供了一系列的安全性服务和功能,用于保护Java应用程序的安全性。
漏洞编号和评分
漏洞状态
漏洞细节 | PoC | EXP | 在野利用 |
未公开 | 未公开 | 未公开 | 未知 |
受影响版本
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
注:Spring Framework5.3之前的版本不受影响
修复建议
目前该漏洞已经修复,建议受影响用户尽快升级至安全版本6.0.7或5.3.26或更高版本:
https://spring.io/projects/spring-framework
参考链接