网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Spring Framework身份认证绕过漏洞(CVE-2023-20860)的安全预警

日期:2023-03-27阅读:

一、基本情况

Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。

二、漏洞描述

Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
三、影响范围

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

四、修复建议

目前官方已有可更新版本,建议用户升级至:

Spring Framework 6.0.x >= 6.0.7

Spring Framework 5.3.x >= 5.3.26

更新信息可参考官方通告:https://spring.io/security/cve-2023-20860

五、参考链接

https://spring.io/security/cve-2023-20860

https://www.secrss.com/articles/52989


我是盾盾