Spring Security 公告

CVE-2023-20860：使用未加前缀的双通配符模式进行安全绕过

高 | 2023年3月20日 | CVE-2023-20860

描述

在 Spring Security 配置中使用 "**" 作为模式与 mvcRequestMatcher 会在 Spring Security 和 Spring MVC 之间创建模式匹配的不匹配，并存在安全绕过的可能性。

受影响的 Spring 产品和版本

Spring Framework
- 6.0.0 至 6.0.6
- 5.3.0 至 5.3.25
- 低于 5.3 的版本不受影响

缓解措施

以下 Spring Framework 版本包含此漏洞的修复程序

6.0.7+
5.3.26+

致谢

此漏洞是在内部发现的。

参考

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

历史

2023-03-20：发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中某个项目的安全漏洞，请参阅安全策略