Spring Framework是一个Java平台,为开发Java应用程序提供全面的基础架构支持。它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。

一、漏洞详情

Spring Framework身份验证绕过漏洞(CVE-2023-20860)：Spring Framework存在一处身份验证绕过漏洞，当Spring Security配置中用作"**"模式时，会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求，实现身份验证绕过，进而访问后台信息。

二、影响范围

受影响版本：

Spring Framework 6.0.x <= 6.0.6

Spring Framework 5.3.x <= 5.3.25

注意：Spring Framework5.3之前的版本不受影响

安全版本：

Spring Framework 6.0.x >= 6.0.7

Spring Framework 5.3.x >= 5.3.26

三、修复方案

目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：

https://github.com/spring-projects/spring-framework/tags