Spring Framework身份验证绕过漏洞(CVE-2023-20860)通告 一、风险通告 2023年3月22日,安信天行安全运营中心监测到监测到Spring 官方发布安全通告,修复了一个Spring Framework身份验证绕过漏洞(CVE-2023-20860),鉴于该框架应用广泛,建议客户尽快自查升级。 二、漏洞描述 Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。 当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。未经身份验证的远程攻击者通过构造特制请求,最终可实现身份验证绕过访问后台信息。 三、影响范围 受影响版本: 6.0.0 <= Spring Framework <= 6.0.6 5.3.0 <= Spring Framework <= 5.3.25 注意:Spring Framework5.3之前的版本不受影响 不受影响版本: Spring Framework >= 6.0.7 Spring Framework >=5.3.26 您好 麻烦问一下与我们购买的iserver有没有影响
