0x01 前言
Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。
0x02 漏洞描述
该漏洞是一个身份验证绕过漏洞。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。如果在Spring Security mvcRequestMatcher配置中使用了**通配符,可能导致潜在的认证绕过。
0x03 影响范围
受影响版本Spring MVC 6.0.0 - 6.0.6Spring MVC 5.3.0 - 5.3.25
不受影响版本Spring MVC >= 6.0.7Spring MVC >= 5.3.26
0x04 修复方案
目前官方已发布安全版本修复此漏洞建议受影响的用户及时升级防护:https://spring.io/security/cve-2023-20860https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7https://github.com/spring-projects/springframework/releases/tag/v5.3.26
【彩
蛋】
《知道创宇404Paper精粹2022年(下)》白嫖获取方式 ↓↓↓↓
点我->>赠送404Paper精粹 | 安全圈大佬都在关注的资源<<--
【往期推荐】
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细 | 钟馗之眼】ZoomEye-python命令行的使用
【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
一如既往的学习,一如既往的整理,一如即往的分享
仅用于学习交流,不得用于非法用途
如侵权请私聊公众号删文
如有侵权请联系:admin#unsafe.sh