一、背景介绍
近日,市委网信办技术支撑单位监测发现到Spring Framework(CVE-2023-20860)身份认证绕过漏洞的风险提示。由于Spring Framework使用用户众多,请迅速进行检查升级。
1.1 漏洞描述
Spring Framework 是一个轻量级的开源 Java 框架,它提供了一组全面的功能,可以帮助开发人员编写高质量、更快速地构建和部署各种类型的应用程序。Spring Framework 被广泛应用于企业级 Java 应用程序的开发。
Spring Framework存在一处身份认证绕过漏洞,允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份认证绕过,进而访问后台信息。
1.2 漏洞编号
CVE-2023-20860
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
6.0.0 <= Spring Framework <= 6.0.6
5.3.0 <= Spring Framework <= 5.3.25
2.2 修复建议
目前官方已针对此漏洞进行修复,请参考下面链接升级至最新版本。
https://github.com/spring-projects/spring-framework/releases