漏洞披露时间:2023-03-22
漏洞描述:
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过。通过官方通告已知该漏洞影响Spring Framework 6.0.0 到 6.0.6版本及Spring Framework 5.3.0 到 5.3.25版本,5.3 之前的版本不受该漏洞影响。
建议提升如下jar包版本,已修复漏洞
jar包具体路径:
kafka-console-ui/lib/kafka-console-ui.jar/BOOT-INF/lib/spring-webmvc-5.3.9.jar:5.3.9
修复方案:
厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞
漏洞披露时间:2023-03-22
漏洞描述:
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过。通过官方通告已知该漏洞影响Spring Framework 6.0.0 到 6.0.6版本及Spring Framework 5.3.0 到 5.3.25版本,5.3 之前的版本不受该漏洞影响。
建议提升如下jar包版本,已修复漏洞
jar包具体路径:
kafka-console-ui/lib/kafka-console-ui.jar/BOOT-INF/lib/spring-webmvc-5.3.9.jar:5.3.9
修复方案:
厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞