【重要】关于 Spring Framework身份验证绕过漏洞（CVE-2023-20860 ）的情况报告

尊敬的客户： 

       您好! 

       我公司观察到 已经有黑客利用利用Spring Framework身份验证绕过漏洞的攻击行为， 由于该漏洞风险等级高、组件使用量较大，建议您尽快检查并做好防护,经审慎检查我公司托管项目不受此漏洞影响。

       建议客户检查环境中其他系统是否受该漏洞影响。 

 晴讯科技        

2023年4月14日   

附：

一、漏洞概述

Spring Security 是一套为基于Spring的应用程序提供声明式安全保护的安全性框架。在受影响版本中，当Spring Security使用mvcRequestMatcher配置，且将"**"作为匹配模式时，其与Spring MVC的匹配逻辑会存在差异，可能导致鉴权绕过。通过官方通告可知，该漏洞影响Spring Framework 6.0.0 到 6.0.6 版本及Spring Framework 5.3.0 到 5.3.25 版本，5.3 之前的版本则不受该漏洞影响。

二、漏洞详情

漏洞名称：Spring Framework 安全漏洞 

漏洞编号：CVE-2023-20860 

危害等级：高危 漏洞类型：其他 

影响版本：

 ●Spring Framework 5.3.x系列中的 5.3.25 及之前的版本 

●Spring Framework 6.0.x 系列中的 6.0.6 及之前的版本 排查方式： 

●可通过排查使用的Spring Framework版本确定是否可能受该漏洞影响。 

●（注：可通过与Spring Framework应用版本一致的jar / maven包信息来获取当前的版本，如 org.springframework:spring-core）

三、官方修复建议

厂商已经发布安全修复版本以修复该漏洞，详情参考官方修复建议： 

(1) Spring Framework 5.3.x 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞。

(2) Spring Framework 6.0.x 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞。

链接：https://spring.io/security/cve-2023-20860/