编写版本:v3.5.6
适用版本:v3.5.0+

Spring Framework 身份认证绕过漏洞(CVE-2023-20860)

  1. 漏洞描述:
    Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将”**”作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
  2. 漏洞详情:
    https://www.secrss.com/articles/52989
    https://spring.io/security/cve-2023-20860
  3. 直接升级spring版本到5.3.26即可
文档更新时间: 2023-03-23 09:19   作者:Eddy