Spring Framework 身份认证绕过漏洞CVE-2023-20860
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:未知
- 漏洞类型: 远程代码执行
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-24
- 更新时间:2023-03-24
漏洞简介
2023年3月22日,深信服安全团队监测到一则Spring Framework组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-20860,漏洞威胁等级:高危。
该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,Spring Security 和 Spring MVC 对匹配模式的处理存在差异性,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过身份认证机制,最终登陆服务器后台。
漏洞公示
暂无
参考网站
https://spring.io/security/cve-2023-20860
受影响实体
目前受影响的Spring Framework版本:
Spring Framework 6.0.x ≤ 6.0.6
Spring Framework 5.3.x ≤ 5.3.25
补丁
解决方案
如何检测组件版本
Windows 系统:
全盘搜索 spring-core,如果存在 spring-core-{version}.jar,且version在漏洞影响版本内,则可能受漏洞影响。
Linux 系统:
使用 find / -name ‘spring-core*’ 命令搜索,且version在漏洞影响版本内,则可能受漏洞影响。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/spring-projects/spring-framework/releases
深信服解决方案
支持对 Spring Framework的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
【深信服云镜YJ】已发布资产检测方案。
