Spring Boot安全绕过漏洞(CVE-2023-20873)通告
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
近日,绿盟科技CERT监测发现Spring官方发布安全通告,修复了一个Spring Boot身份验证绕过漏洞。该漏洞存在于Spring Boot 3.0.0至3.0.5和2.7.0至2.7.10版本中,攻击者可通过Cloud Foundry上的通配符模式匹配实现安全绕过。建议受影响的用户尽快升级版本进行防护,或通过禁用Cloud Foundry执行器进行临时防护。
🎯
关键要点
-
绿盟科技CERT监测到Spring官方发布安全通告,修复了Spring Boot身份验证绕过漏洞(CVE-2023-20873)。
-
该漏洞影响Spring Boot 3.0.0至3.0.5和2.7.0至2.7.10版本,攻击者可通过Cloud Foundry上的通配符模式匹配实现安全绕过。
-
建议受影响用户尽快升级版本进行防护,或通过禁用Cloud Foundry执行器进行临时防护。
-
漏洞状态:漏洞细节、PoC和EXP均未公开,暂不存在在野利用。
-
受影响范围包括Spring Boot 3.0.0至3.0.5和2.7.0至2.7.10,不受影响版本为Spring Boot 3.0.6及以上和2.7.11及以上。
-
用户可通过查看pom.xml中的version标签来检测当前使用的Spring Boot版本号。
-
官方已发布安全版本,建议受影响用户尽快升级,提供了相关链接。
-
临时防护措施为在配置文件中添加代码禁用Cloud Foundry执行器。
-
绿盟科技声明不对安全公告内容的使用后果承担责任,拥有对此公告的修改和解释权。
➡️
