作者:Eddy  历史版本:1  最后编辑:龚清  更新时间:2024-05-28 11:18

编写版本:v3.5.6
适用版本:v3.5.0+

Spring Framework 身份认证绕过漏洞(CVE-2023-20860)

  1. 漏洞描述:
    Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将”**”作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
  2. 漏洞详情:
    https://www.secrss.com/articles/52989
    https://spring.io/security/cve-2023-20860
  3. 直接升级spring版本到5.3.26即可