Spring Framework 特殊匹配模式下身份认证绕过漏洞(CVE-2023-20860) #6011
Labels
Comments
|
Not using the Spring MVC framework. |
1 task
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
漏洞描述
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。
在受影响版本中,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
受影响版本:
6.0.0 <= Spring Framework < 6.0.7
5.3.0 <= Spring Framework < 5.3.26
解决建议
Spring Framework 升级至 5.3.26 及以上版本 或者 6.0.7 及以上版本
看下Seata中是否存在【Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式】,如果不存在,此漏洞可解释。
如果存在,就要升级seata,看看哪个版本的Spring Framework 在 5.3.26 及以上 或者 6.0.7
The text was updated successfully, but these errors were encountered: