【安全漏洞公告】Spring Framework身份驗證繞過漏洞(CVE-2023-20860)
發布時(shi)間(jian):2023-04-03
來源:圣博潤(run)
一、漏洞簡介
|
CVE ID
|
CVE-2023-20860
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
Spring Security 是一套為基于Spring的應用程序提供說明性安全保護的安全框架。
在(zai)受影響版本中,當(dang)Spring Security使(shi)用mvcRequestMatcher配置了**作為前綴的(de)pattern時,其與Spring MVC的(de)匹配邏輯(ji)存在(zai)差異,可能(neng)導(dao)致(zhi)鑒權繞(rao)過(guo)(guo),通過(guo)(guo)未經身份(fen)驗證的(de)遠程(cheng)攻擊者通過(guo)(guo)構造特制請求,最終可實現身份(fen)驗證繞(rao)過(guo)(guo)訪(fang)問后(hou)臺信(������xin)息。
二、影響范圍
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
三、解決措施
��� 目前官方已(yi)在(zai)最新(xin)版(ban)本中修復了該(gai)漏洞,請受影響的(de)用戶盡快升(sheng)級版(ban)本進行防(fang)護,最新(xin)版(ban)本下(xia)載鏈(lian)接如下(xia):
//github.com/spring-projects/spring-fram������ework/releases/tag/v6.0.7
//github.com/spring-projects/spring-framework/releases/tag/v5.3.26
������
四、參考(kao)鏈接(jie)
//spring.io/security/cve-2023-20860
