金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!攻击者可绕过验证,Spring Framework漏洞风险通告
发布时间 :2023年03月24日
分享:

6162f4c78e463891c9efac77c6a50ab2.jpg

近日,8087金沙娱场城CERT监测到Spring官方发布安全通告,修复了Spring Framework中的一个身份验证绕过漏洞(CVE-2023-20860)。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。该漏洞允许未经身份验证的攻击者可向目标发送构造的特殊请求,从而实现身份验证绕过。目前厂商已发布安全版本,建议受影响用户尽快下载安装以减少漏洞所带来的风险。


Spring Framework是一款基于Java的开源框架,它提供了一组用于开发企业级应用程序的工具和技术。Spring Framework的主要目标是提高Java开发的生产力和简化Java应用程序的开发。Spring Security是Spring Framework的一个模块,它提供了一系列的安全性服务和功能,用于保护Java应用程序的安全性。


漏洞编号和评分

  • CVE-2023-20860

  • 高危


漏洞状态

漏洞细节

PoC

EXP

在野利用

未公开

未公开

未公开

未知


受影响版本

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

注:Spring Framework5.3之前的版本不受影响


修复建议

目前该漏洞已经修复,建议受影响用户尽快升级至安全版本6.0.7或5.3.26或更高版本:

https://spring.io/projects/spring-framework


参考链接


  • https://spring.io/security/cve-2023-20860


分享到微信
X