警惕！攻击者可绕过验证，Spring Framework漏洞风险通告

近日，亚信安全CERT监测到Spring官方发布安全通告，修复了Spring Framework中的一个身份验证绕过漏洞（CVE-2023-20860）。当Spring Security配置中用作"**"模式时，会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。该漏洞允许未经身份验证的攻击者可向目标发送构造的特殊请求，从而实现身份验证绕过。目前厂商已发布安全版本，建议受影响用户尽快下载安装以减少漏洞所带来的风险。

Spring Framework是一款基于Java的开源框架，它提供了一组用于开发企业级应用程序的工具和技术。Spring Framework的主要目标是提高Java开发的生产力和简化Java应用程序的开发。Spring Security是Spring Framework的一个模块，它提供了一系列的安全性服务和功能，用于保护Java应用程序的安全性。

漏洞编号和评分

• CVE-2023-20860

• 高危

漏洞状态

漏洞细节-未公开

PoC-未公开

EXP-未公开

在野利用-未知

受影响版本

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

注：Spring Framework5.3之前的版本不受影响

修复建议

目前该漏洞已经修复，建议受影响用户尽快升级至安全版本6.0.7或5.3.26或更高版本