近日，亞信安全CERT監(jiān)測(cè)到Spring官方發(fā)布安全通告，修復(fù)了Spring Framework中的一個(gè)身份驗(yàn)證繞過漏洞（CVE-2023-20860）。當(dāng)Spring Security配置中用作"**"模式時(shí)，會(huì)導(dǎo)致Spring Security和Spring MVC之間的mvcRequestMatcher模式不匹配。該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者可向目標(biāo)發(fā)送構(gòu)造的特殊請(qǐng)求，從而實(shí)現(xiàn)身份驗(yàn)證繞過。目前廠商已發(fā)布安全版本，建議受影響用戶盡快下載安裝以減少漏洞所帶來的風(fēng)險(xiǎn)。

Spring Framework是一款基于Java的開源框架，它提供了一組用于開發(fā)企業(yè)級(jí)應(yīng)用程序的工具和技術(shù)。Spring Framework的主要目標(biāo)是提高Java開發(fā)的生產(chǎn)力和簡(jiǎn)化Java應(yīng)用程序的開發(fā)。Spring Security是Spring Framework的一個(gè)模塊，它提供了一系列的安全性服務(wù)和功能，用于保護(hù)Java應(yīng)用程序的安全性。

漏洞編號(hào)和評(píng)分

• CVE-2023-20860

• 高危

漏洞狀態(tài)

漏洞細(xì)節(jié)-未公開

PoC-未公開

EXP-未公開

在野利用-未知

受影響版本

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

注：Spring Framework5.3之前的版本不受影響

修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，建議受影響用戶盡快升級(jí)至安全版本6.0.7或5.3.26或更高版本