欢迎user
新华三盾山实验室
2023/03/22
Spring Framework是一个基础开源框架,为开发Java应用程序提供全面的基础架构支持。Spring Framework由Core Container、Data Access/Integration、Web、AOP、Instrumentation、Messaging以及Tes等模块组成,主要用于javaee的企业开发。近日,新华三盾山实验室监测到Spring官方发布了安全公告,修复了一个存在于Spring Framework中的身份认证绕过漏洞(CVE-2023-20860),攻击者利用该漏洞可绕过身份认证。
由于Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将“**”作为匹配模式时,会导致Spring Security和Spring MVC之间的模式匹配存在差异,恶意攻击者成功利用此漏洞可绕过身份认证机制。
· Spring Framework 6.0.x <= 6.0.6
· Spring Framework 5.3.x <= 5.3.25
注:Spring Framework 5.3 之前的版本不受影响
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.1 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://spring.io/projects/spring-framework