安全公告/【CVE-2023-20860】

基本信息

漏洞描述

Spring是一个开放源代码的设计层面框架，是为了解决企业应用开发的复杂性而创建的。 Spring Framework存在身份认证绕过漏洞，当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时，在Spring Security 和 Spring MVC 之间会发生模式不匹配，最终可能导致身份认证绕过。

修复方式

将 Spring Framework 升级到 5.3.26、6.0.7 及以上版本，下载地址：https://github.com/spring-projects/spring-framework/releases

漏洞判定

版本比对检测原理：检查当前系统中spring-webmvc版本是否在受影响范围内|版本比对检测结果：- spring-webmvc
  当前安装版本：5.3.12
  应用相关信息：
  - 进程PID：9141
  - 应用路径：/hadoop/yxfy/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/spring-webmvc-5.3.12.jar
该主机存在此漏洞

参考

CVE-2023-20860，，，