您的位置:首页 >科技 >

【世界独家】Spring Framework身份认证绕过漏洞安全风险通告

2023-03-22 19:58:02    来源:互联网

Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。

近日,奇安信CERT监测到官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。鉴于此产品用量较大,建议客户尽快做好自查及防护。


(相关资料图)

漏洞名称

Spring Framework 身份认证绕过漏洞

公开时间

2023-03-20

更新时间

2023-03-22

CVE编号

CVE-2023-20860

其他编号

QVD-2023-6995

威胁类型

身份认证绕过

技术类型

身份认证绕过

厂商

VMware

产品

Spring Framework

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。

影响版本

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

(其他低于5.3.x的系列版本不受此漏洞影响)

威胁评估

漏洞名称

Spring Framework 身份认证绕过漏洞

CVE编号

CVE-2023-20860

其他编号

QVD-2023-6995

CVSS 3.1评级

高危

CVSS 3.1分数

9.1

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

用户认证(Au

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

攻击者利用此漏洞可能在Spring Framework项目中实现身份认证绕过。

处置建议

目前官方已有可更新版本,建议用户升级至:

Spring Framework 6.0.x >= 6.0.7

Spring Framework 5.3.x >= 5.3.26

更新信息可参考官方通告:https://spring.io/security/cve-2023-20860

参考资料

[1]https://spring.io/security/cve-2023-20860

标签:

相关阅读