【漏洞通告】Spring Framework 身份认证绕过漏洞

admin

102252
文章

87
评论

2023年3月23日18:02:35评论59 views字数 630阅读2分6秒阅读模式

0x01 漏洞信息

漏洞名称：Spring Framework 身份认证绕过漏洞

漏洞编号：CVE-2023-20860

漏洞等级：高

披漏时间：2023年3月22日

0x02 漏洞描述

Spring Framework存在身份认证绕过漏洞，当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时，Spring Security 和 Spring MVC 对匹配模式的处理存在差异性，可能导致身份认证绕过。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	未公开	未公开

0x04 影响版本

Spring Framework 5.3.x ≤5.3.25、Spring Framework 6.0.x ≤ 6.0.6

0x05 漏洞排查

用户尽快排查所有应用系统Spring Framework应用版本是否在Spring Framework 5.3.x ≤5.3.25、Spring Framework 6.0.x ≤ 6.0.6之间。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

目前官方已有可更新版本，建议用户升级至: Spring Framework 6.0.x >= 6.0.7Spring Framework 5.3.x >= 5.3.26下载链接: https://github.com/spring-projects/spring-framework/releases

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】Spring Framework 身份认证绕过漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Spring Framework 身份认证绕过漏洞

0x01 漏洞信息

0x02 漏洞描述

0x03 漏洞状态

0x04 影响版本

0x05 漏洞排查

0x06 漏洞加固

（CVE-2024-3400）Palo Alto Networks PAN-OS 命令执行漏洞

校园网自助服务系统存在SQL注入漏洞

玲珑-login-bypass登录绕过漏洞复现

用友-政务-FileDownload-任意文件读取漏洞复现

卡车卫星定位系统/user/create存在未授权密码重置漏洞

用友-U8-Cloud-TableInputOperServlet存在反序列化漏洞

CVE-2024-26503

致远互联 OA fileUpload.do 文件上传漏洞

某世界500强企业|存在通杀漏洞(0day)

CVE-2024-32409 POC

发表评论

在线咨询

微信