【漏洞说明】
在 Spring Security 配置中使用 “**” 作为匹配模式,配合 mvcRequestMatcher,会导致 Spring Security 和 Spring MVC 之间的模式匹配不匹配,并可能导致安全绕过漏洞。
【影响范围】
6.0.0 至 6.0.6
5.3.0 至 5.3.25
早期版本不受影响
【修复方案】
升级到以下版本:
6.0.7+
5.3.26+
【漏洞说明】
在 Spring Security 配置中使用 “**” 作为匹配模式,配合 mvcRequestMatcher,会导致 Spring Security 和 Spring MVC 之间的模式匹配不匹配,并可能导致安全绕过漏洞。
【影响范围】
6.0.0 至 6.0.6
5.3.0 至 5.3.25
早期版本不受影响
【修复方案】
升级到以下版本:
6.0.7+
5.3.26+