【漏洞公告】
近日,Spring官方发布安全更新,修复了一处SpringFramework身份验证绕过漏洞(CVE-2023-20860)。该漏洞允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过,进而访问后台信息。目前官方发布安全更新,建议受影响的用户尽快采取安全措施。
参考链接:https://spring.io/security/cve-2023-20860
【影响范围】
受影响版本:
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
注意:Spring Framework5.3之前的版本不受影响。
安全版本:
Spring Framework 6.0.x >= 6.0.7
Spring Framework 5.3.x >= 5.3.26
【漏洞描述】
Spring Framework是一个Java平台,为开发Java应用程序提供全面的基础架构支持。它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。
Spring Framework身份验证绕过漏洞(CVE-2023-20860):Spring Framework存在一处身份验证绕过漏洞,当Spring Security配置中用作**模式时,会导致SpringSecurity和SpringMVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过,进而访问后台信息。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
【缓解措施】
高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://github.com/spring-projects/spring-framework/tags
