Spring Security 安全绕过漏洞CVE-2023-20860

最新推荐文章于 2024-04-05 06:11:44 发布
最新推荐文章于 2024-04-05 06:11:44 发布
阅读量1.4k 收藏
点赞数
文章标签: 安全 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sandfeng/article/details/129713820
版权

【漏洞说明】

在 Spring Security 配置中使用 “**” 作为匹配模式,配合 mvcRequestMatcher,会导致 Spring Security 和 Spring MVC 之间的模式匹配不匹配,并可能导致安全绕过漏洞。

【影响范围】

6.0.0 至 6.0.6

5.3.0 至 5.3.25

早期版本不受影响

【修复方案】

升级到以下版本:

6.0.7+

5.3.26+

sandfeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
Spring Security通配符路由绕过漏洞CVE-2023-20860
murphysec的博客
03-23 4943
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。 在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过
身份验证绕过漏洞CVE-2023-20860
zkaqlaoniao的博客
10-13 1403
Spring官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将**作为匹配模式时,在Spring SecuritySpring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)_cve-2023-2828
最新发布
2201_75604580的博客
04-05 795
员的圈子,让我们一起学习成长!
CVE-2023-20883 拒绝服务攻击
wcy1900353090的博客
09-07 1972
Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击Spring Boot 3.0.x版本:3.0.0 - 3.0.6Spring Boot 2.7.x版本:2.7.0 - 2.7.11Spring Boot 2.6.x版本:2.6.0 - 2.6.14Spring Boot 2.5.x版本:2.5.0 - 2.5.14。
Spring Security注销后未正确保存空的SecurityContext漏洞CVE-2023-20862
日拱一卒无有尽,功不唐捐终入海
08-30 1863
背景:公司项目扫描到 Spring-security 组件 注销后未正确保存空的SecurityContext CVE-2023-20862Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的实际标准。Spring Security提供了一套完整的安全性解决方案,是构建安全性强的企业级应用程序的理想选择。
spring security regexrequestmatcher 认证绕过漏洞CVE-2022-22978)
qq_41950855的博客
10-18 4323
记录一次漏洞修复过程中遇到的问题:spring security regexrequestmatcher 认证绕过漏洞CVE-2022-22978)
spring框架漏洞整理
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1343
近日, Spring官方发布多个安全公告其中包括3个严重,2个高危漏洞漏洞涉及Spring Messaging组件, Spring Security框架,spring框架漏洞整理,攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。 Spring Messaging组件中存在漏洞可导致正则表达式拒绝服务攻击(CVE-2018-1257)Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC
09-04
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, ...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
CVE-2022-22978】Spring-security认证绕过漏洞
Dawn3AM
10-07 742
Spring-security使用 RegexRequestMatcher 进行权限配置,由于RegexRequestMatcher正则表达式配置权限的特性,正则表达式中包含“.”时,未经身份验证攻击者可以通过构造恶意数据包绕过身份认证。程序在处理该路径的访问请求时,会利用正则规则匹配该路径是否为管理员路径,如果是则对其进行身份校验,校验通过后,返回管理端数据,但是如果正则规则未匹配到该路径,则直接绕过身份校验模块。,经过WEB服务器转码成换行符。HTTP请求中url中的。,即可绕过访问权限检测。
CVE-2023-20860 将组件 org.springframework:spring-webmvc 升级至 5.3.26 及以上版本
tabvla的博客
09-14 1969
若依框架,将组件 org.springframework:spring-webmvc 升级至 5.3.26 及以上版本,CVE-2023-20860
Spring Security RegexRequestMatcher 认证绕过漏洞CVE-2022-22978)
weixin_45314962的博客
11-27 1153
Spring-security使用 RegexRequestMatcher 认证绕过漏洞
2023年度漏洞预警
qq_21193587的博客
08-15 1062
漏洞是硬件,软件,协议的具体实现或系统安全策略上存在的缺陷。从而可以使用攻击者能够在破坏系统。以下数据针对 23 年截至8月期间爆发的高危严重漏洞进行了数据统计和分析,具体的数据如下所示:3.10.0 <= Openfire <4.6.84.7.0 <= Openfire < 4.7.5畅捷通 T+ 13.0畅捷通 T+ 16.01.4.0 <= Nacos < 1.4.62.0.0 <= Nacos < 2.2.3GitLab CE 16.0.0GitLab EE 16.0.0Apache RocketM
CVE-2022-22978:RegexRequestMatcher 中的 Spring Security 授权绕过
weixin_61489125的博客
04-23 726
特此声明:本文仅供安全研究与学习之用,禁止一切危害网络安全行为及其他途径,由使用者承担全部法律及连带责任,作者本人和团队不承担任何法律及连带责任。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。在 Spring Security 5.5.6 和 5.6.3 以及不受支持的旧版本中,RegexRequestMatcher 很容易被错误配置为在某些 servlet 容器上被绕过
spring Security RegexReauestMatcher 认证绕过漏洞 CVE-2022-229(2022-09-01)
qq_38220334的博客
09-01 411
然后就陷入的沉思,到底哪里出了问题,有一个想法出来了,那就是jar包之间的依赖关系,在idea中查看jar包之间的依赖关系。原来,5.5.3的版本信息都来源于这里,鼠标放上去发现它的version居然是2.5.6,2.5.6从何而来?但是在我们的工程中并没有生效,重新导入jar包后,还是5.5.3的版本。然后就搜2.5.6,原来是这个配置影响了整体的jar包的引入,点击这个jar包进去,会发现,5.5.3的版本就是在这里引入的。在网上搜了好些方法,都是直接引入。...
Spring Framework 身份认证绕过漏洞(CVE-2023-20860)
05-30
这是一个非常严重的漏洞,它允许攻击者在不知道凭据的情况下通过身份验证。攻击者可以通过发送经过精心构造的请求来实现此目的,这些请求可以绕过验证过程并允许未经授权的访问。该漏洞影响 Spring Framework 4.0.0 至 4.3.15、5.0.0 至 5.3.4 和 6.0.0 M1。建议尽快升级到已发布的修复版本,以避免受到攻击。同时,您还可以采取其他措施,如限制访问、加强身份验证等,以保护您的系统安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值