0x01 前言
Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。
0x02 漏洞描述
该漏洞是一个身份验证绕过漏洞。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。如果在Spring Security mvcRequestMatcher配置中使用了**通配符,可能导致潜在的认证绕过。
0x03 影响范围
受影响版本Spring MVC 6.0.0 - 6.0.6Spring MVC 5.3.0 - 5.3.25
不受影响版本Spring MVC >= 6.0.7Spring MVC >= 5.3.26
0x04 修复方案
目前官方已发布安全版本修复此漏洞建议受影响的用户及时升级防护:https://spring.io/security/cve-2023-20860https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7https://github.com/spring-projects/springframework/releases/tag/v5.3.26
原文始发于微信公众号(渗透Xiao白帽):漏洞速递 | CVE-2023-20860 漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论