网络安全

关于Spring Framework身份认证绕过漏洞的预警通报
发布日期:2023-05-13 08:40 浏览量:

Spring Framework组件存在身份认证绕过漏洞,漏洞编号:CVE-2023-20860,漏洞威胁等级:高危。该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,Spring Security和Spring MVC对匹配模式的处理存在差异性,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过身份认证机制,最终登陆服务器后台。

Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架,旨在为现代基于Java的企业应用程序提供一个全面的编程和配置模型。Spring Framework提供了应用程序级别的基础设施支持,为J2EE应用程序开发提供了轻量化、低耦合度、分层结构清晰、跨平台的开发基础设施。

(一)漏洞影响范围:

目前受影响的Spring Framework版本:

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

(二)漏洞修复建议:

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/spring-projects/spring-framework/releases