发布时间:2023-04-03
来源:圣博润| CVE ID | CVE-2023-20860 | 公开日期 | 2023-03-29 |
| 危害级别 | 高危 | 攻击复杂程度 | 低 |
| POC/EXP | 已公开 | 攻击途径 | 远程网络 |
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。
在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过,通过未经身份验证的远程攻击者通过构造特制请求,最终可实现身份验证绕过访问后台信息。
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,最新版本下载链接如下:
https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7
https://github.com/spring-projects/spring-framework/releases/tag/v5.3.26
https://spring.io/security/cve-2023-20860
地址:北京市海淀区东冉北街9号宝蓝ㆍ金园网络安全服务产业园 A幢B3010室
邮箱:support@sbr-info.com
邮编:100044
技术支持热线:010-8213-8088、400-966-2332
网址:http://www.sbr-info.com/
北京圣博润高新技术股份有限公司
京ICP备07015083号-1
