【漏洞通告】Spring Framework 身份认证绕过漏洞CVE-2023-20860

漏洞名称：

Spring Framework 身份认证绕过漏洞

组件名称：

Spring Framework

影响范围：

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

漏洞类型：

远程代码执行

利用条件：

1、用户认证：不需要用户认证

2、前置条件：未知

3、触发方式：远程

综合评价：

<综合评定利用难度>：未知

<综合评定威胁等级>： 高危，能绕过身份认证。

官方解决方案：

已发布

漏洞分析

组件介绍

Vmware Spring Framework是美国威睿（Vmware）公司的一套开源的Java、JavaEE应用程序框架，旨在为现代基于 Java 的企业应用程序提供一个全面的编程和配置模型。Spring Framework提供了应用程序级别的基础设施支持， 为J2EE 应用程序开发提供了轻量化、低耦合度、分层结构清晰、跨平台的开发基础设施。

漏洞简介

2023年3月22日，深信服安全团队监测到一则Spring Framework组件存在身份认证绕过漏洞的信息，漏洞编号：CVE-2023-20860，漏洞威胁等级：高危。

该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时，Spring Security 和 Spring MVC 对匹配模式的处理存在差异性，攻击者可利用该漏洞在未授权的情况下，构造恶意数据绕过身份认证机制，最终登陆服务器后台。

影响范围

目前受影响的Spring Framework版本：

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

解决方案

如何检测组件版本

Windows 系统：

全盘搜索 spring-core，如果存在 spring-core-{version}.jar，且version在漏洞影响版本内，则可能受漏洞影响。

Linux 系统：

使用 find / -name ‘spring-core*’  命令搜索，且version在漏洞影响版本内，则可能受漏洞影响。

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/spring-projects/spring-framework/releases

深信服解决方案

支持对 Spring Framework的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服主机安全检测响应平台CWPP】已发布资产检测方案。

【深信服云镜YJ】已发布资产检测方案。

参考链接

https://spring.io/security/cve-2023-20860

时间轴

2023/3/22

深信服监测到 Spring Framework身份认证绕过漏洞攻击信息。

2023/3/22

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。