漏洞速递 | CVE-2023-20860 漏洞
2023-3-23 11:32:20 Author: 渗透Xiao白帽(查看原文) 阅读量:221 收藏

0x01 前言

Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。

0x02 漏洞描述

 该漏洞是一个身份验证绕过漏洞。当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。如果在Spring Security mvcRequestMatcher配置中使用了**通配符,可能导致潜在的认证绕过。

0x03 影响范围

受影响版本Spring  MVC  6.0.0 - 6.0.6Spring  MVC  5.3.0 - 5.3.25
不受影响版本Spring  MVC  >= 6.0.7Spring  MVC  >= 5.3.26

0x04 修复方案

目前官方已发布安全版本修复此漏洞建议受影响的用户及时升级防护:https://spring.io/security/cve-2023-20860https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7https://github.com/spring-projects/springframework/releases/tag/v5.3.26

【彩蛋】

《知道创宇404Paper精粹2022年(下)》白嫖获取方式 ↓↓↓↓

点我->>赠送404Paper精粹 | 安全圈大佬都在关注的资源<<--

【往期推荐】

【内网渗透】内网信息收集命令汇总

【内网渗透】域内信息收集命令汇总

【超详细 | Python】CS免杀-Shellcode Loader原理(python)

【超详细 | Python】CS免杀-分离+混淆免杀思路

【超详细 | 钟馗之眼】ZoomEye-python命令行的使用

【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现

【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞

【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现

【奇淫巧技】如何成为一个合格的“FOFA”工程师

【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】

【超详细】Fastjson1.2.24反序列化漏洞复现

  记一次HW实战笔记 | 艰难的提权爬坑

走过路过的大佬们留个关注再走呗

往期文章有彩蛋哦


一如既往的学习,一如既往的整理,一如即往的分享

仅用于学习交流,不得用于非法用途

如侵权请私聊公众号删文


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247497298&idx=1&sn=28a2ecb413af3346ea5a5ff9d23dd8e1&chksm=ea340908dd43801e8a84e0834bc094438fd9c129b04439e38f1a9421d0d73f208d4dae00bb5d#rd
如有侵权请联系:admin#unsafe.sh