0x01 前言
Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。
0x02 漏洞描述
该漏洞是一个身份验证绕过漏洞。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。如果在Spring Security mvcRequestMatcher配置中使用了**通配符,可能导致潜在的认证绕过。
0x03 影响范围
受影响版本Spring MVC 6.0.0 - 6.0.6Spring MVC 5.3.0 - 5.3.25
不受影响版本Spring MVC >= 6.0.7Spring MVC >= 5.3.26
0x04 修复方案
目前官方已发布安全版本修复此漏洞建议受影响的用户及时升级防护:https://spring.io/security/cve-2023-20860https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7https://github.com/spring-projects/springframework/releases/tag/v5.3.26
原文始发于微信公众号(渗透Xiao白帽):漏洞速递 | CVE-2023-20860 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论