安全公告编号:CVE-2023-20860
一、基本情况
Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。
二、漏洞描述
Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
三、影响范围
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
四、修复建议
目前官方已有可更新版本,建议用户升级至:
Spring Framework 6.0.x >= 6.0.7
Spring Framework 5.3.x >= 5.3.26
更新信息可参考官方通告:
https://spring.io/security/cve-2023-20860
五、参考链接
https://spring.io/security/cve-2023-20860
https://www.secrss.com/articles/52989
