尊敬的客户:
您好!
我公司观察到 已经有黑客利用利用Spring Framework身份验证绕过漏洞的攻击行为, 由于该漏洞风险等级高、组件使用量较大,建议您尽快检查并做好防护,经审慎检查我公司托管项目不受此漏洞影响。
建议客户检查环境中其他系统是否受该漏洞影响。
晴讯科技
2023年4月14日
附:
一、漏洞概述
Spring Security 是一套为基于Spring的应用程序提供声明式安全保护的安全性框架。在受影响版本中,当Spring Security使用mvcRequestMatcher配置,且将"**"作为匹配模式时,其与Spring MVC的匹配逻辑会存在差异,可能导致鉴权绕过。通过官方通告可知,该漏洞影响Spring Framework 6.0.0 到 6.0.6 版本及Spring Framework 5.3.0 到 5.3.25 版本,5.3 之前的版本则不受该漏洞影响。
二、漏洞详情
漏洞名称:Spring Framework 安全漏洞
漏洞编号:CVE-2023-20860
危害等级:高危 漏洞类型:其他
影响版本:
●Spring Framework 5.3.x系列中的 5.3.25 及之前的版本
●Spring Framework 6.0.x 系列中的 6.0.6 及之前的版本 排查方式:
●可通过排查使用的Spring Framework版本确定是否可能受该漏洞影响。
●(注:可通过与Spring Framework应用版本一致的jar / maven包信息来获取当前的版本,如 org.springframework:spring-core)
三、官方修复建议
厂商已经发布安全修复版本以修复该漏洞,详情参考官方修复建议:
(1) Spring Framework 5.3.x 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞。
(2) Spring Framework 6.0.x 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞。
- 上一篇:【重要】关于公司注册地址变更的公告
- 下一篇:2023年劳动节的放假通知
