查看原文
其他

【漏洞通告】Spring Framework 身份认证绕过漏洞CVE-2023-20860

深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-21

漏洞名称:

Spring Framework 身份认证绕过漏洞

组件名称:

Spring Framework

影响范围:

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

漏洞类型:

远程代码执行

利用条件:

1、用户认证:不需要用户认证

2、前置条件:未知

3、触发方式:远程

综合评价:

<综合评定利用难度>:未知

<综合评定威胁等级>: 高危,能绕过身份认证。

官方解决方案:

已发布


漏洞分析

组件介绍

Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架,旨在为现代基于 Java 的企业应用程序提供一个全面的编程和配置模型。Spring Framework提供了应用程序级别的基础设施支持, 为J2EE 应用程序开发提供了轻量化、低耦合度、分层结构清晰、跨平台的开发基础设施。

漏洞简介

2023年3月22日,深信服安全团队监测到一则Spring Framework组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-20860,漏洞威胁等级:高危。

该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,Spring Security 和 Spring MVC 对匹配模式的处理存在差异性,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过身份认证机制,最终登陆服务器后台。

影响范围

目前受影响的Spring Framework版本:

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

解决方案

如何检测组件版本


Windows 系统:

全盘搜索 spring-core,如果存在 spring-core-{version}.jar,且version在漏洞影响版本内,则可能受漏洞影响。



Linux 系统:

使用 find / -name ‘spring-core*’  命令搜索,且version在漏洞影响版本内,则可能受漏洞影响。


官方修复建议


当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/spring-projects/spring-framework/releases

深信服解决方案

支持对 Spring Framework的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服主机安全检测响应平台CWPP】已发布资产检测方案。

【深信服云镜YJ】已发布资产检测方案。

参考链接

https://spring.io/security/cve-2023-20860

时间轴


2023/3/22

深信服监测到 Spring Framework身份认证绕过漏洞攻击信息。

2023/3/22

深信服千里目安全技术中心发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存