Spring Security 安全建議

CVE-2023-20860：使用未加前綴雙萬用字元模式的安全漏洞繞過

高 | 2023 年 3 月 20 日 | CVE-2023-20860

說明

在 Spring Security 組態中使用 "**" 作為模式，搭配 mvcRequestMatcher，會在 Spring Security 和 Spring MVC 之間產生模式比對不一致，並可能導致安全漏洞繞過。

受影響的 Spring 產品和版本

Spring Framework
- 6.0.0 至 6.0.6
- 5.3.0 至 5.3.25
- 低於 5.3 的版本不受影響

緩解措施

以下 Spring Framework 版本包含此漏洞的修復

6.0.7+
5.3.26+

鳴謝

此漏洞是在內部發現的。

參考資料

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:H/IR:H/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

歷史記錄

2023-03-20：發布初始漏洞報告。

報告漏洞

若要報告 Spring 系列產品中的專案的安全漏洞，請參閱安全政策