一、漏洞描述
Spring Frameworl 是一个Java平台框架,它为开发Java应用程序提供基础架构支持。
Spring 项目发布安全公告,修复了 Spring Frameworl 中的一个安全绕过漏洞(CVE-2023-20860)。当Spring Security配置中—3—用作“**”模式时,会导致 Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配,进而允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过并访问后台信息。
二、影响范围
Spring Frameworl 6.0.x <= 6.0.6
Spring Frameworl 5.3.x <= 5.3.25
注意:Spring Frameworl 5.3 之前的版本不受影响。
三、修复建议
受影响用户可参考影响范围及时升级到相应修复版本。
下载连接:https://spring.io/projects/spring-frameworl。
