漏洞名称:
Spring Framework 身份认证绕过漏洞
组件名称:
Spring Framework
影响范围:
Spring Framework 6.0.x ≤ 6.0.6
Spring Framework 5.3.x ≤ 5.3.25
漏洞类型:
远程代码执行
利用条件:
1、用户认证:不需要用户认证
2、前置条件:未知
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知
<综合评定威胁等级>: 高危,能绕过身份认证。
官方解决方案:
已发布
漏洞分析
组件介绍
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架,旨在为现代基于 Java 的企业应用程序提供一个全面的编程和配置模型。Spring Framework提供了应用程序级别的基础设施支持, 为J2EE 应用程序开发提供了轻量化、低耦合度、分层结构清晰、跨平台的开发基础设施。
漏洞简介
2023年3月22日,深信服安全团队监测到一则Spring Framework组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-20860,漏洞威胁等级:高危。
该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,Spring Security 和 Spring MVC 对匹配模式的处理存在差异性,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过身份认证机制,最终登陆服务器后台。
影响范围
目前受影响的Spring Framework版本:
Spring Framework 6.0.x ≤ 6.0.6
Spring Framework 5.3.x ≤ 5.3.25
解决方案
如何检测组件版本
Windows 系统:
全盘搜索 spring-core,如果存在 spring-core-{version}.jar,且version在漏洞影响版本内,则可能受漏洞影响。
Linux 系统:
使用 find / -name ‘spring-core*’ 命令搜索,且version在漏洞影响版本内,则可能受漏洞影响。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/spring-projects/spring-framework/releases
深信服解决方案
支持对 Spring Framework的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
【深信服云镜YJ】已发布资产检测方案。
参考链接
https://spring.io/security/cve-2023-20860
时间轴
2023/3/22
深信服监测到 Spring Framework身份认证绕过漏洞攻击信息。
2023/3/22
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Spring Framework 身份认证绕过漏洞CVE-2023-20860
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论