【安全漏洞公告】Spring Framework身份驗證繞過漏洞(CVE-2023-20860)
一、漏洞簡介
|
CVE ID
|
CVE-2023-20860
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
Spring Security 是一套為基于Spring的應用程序提供說明性安全保護的安全框架。
�������
在受影響版本中,當Spring Security使用mvcRequestMatcher配置了**作為前綴的pattern時,其與Spring MVC的匹配邏輯存在差異,可能導致鑒權繞過,通過未經身份驗證的遠程攻擊者通過構造特制請求,最終可實現身份驗證繞過訪問后臺信息。
二、影響范圍
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
三、解決措施
�����
目前官方已在最新版本中修復了該漏洞,請受影響的用戶盡快升級版本進行防護,最新版本下載鏈接如下:
���������
//github.com/spring-projects/spring-framework/releases/tag/v6.0.7
��������
//github.com/spring-projects/spring-framework/releases/tag/v5.3.26
四、參考鏈接
//spring.io/security/cve-2023-20860
