安全通告
漏洞信息
漏洞名称:Spring Framework 安全绕过漏洞
风险等级:高危
漏洞概述
近日君立华域虎贲实验室检测到spring官方发布了关于spring产品的多个漏洞修复公告,具体情况如下:
CVE-2023-20861
在 Spring Framework 版本 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 和不受支持的旧版本中,用户可以提供特制的 SpEL 表达式,这有可能会造成拒绝服务 (DoS) 。
CVE-2023-20860
在 Spring Security 配置中用作"**"模式会导致mvcRequestMatcherSpring Security 和 Spring MVC 之间的模式匹配不匹配,有可能导致安全绕过。
CVE-2023-20859
在 Spring Vault 中,3.0.2 之前的 3.0.x 版本和 2.3.3 之前的 2.3.x 版本以及更早的版本中,应用程序在尝试撤销 Vault 批处理令牌时,可能会导致将敏感信息插入到日志文件中。
影响范围
| CVE编号 | 影响产品 | 影响范围 |
|---|---|---|
| CVE-2023-20861 | Spring Framework | 6.0.0 - 6.0.6 5.3.0 - 5.3.25 5.2.0.RELEASE - 5.2.22.RELEASE 不受支持的旧版本也会受到影响。 |
| CVE-2023-20860 | Spring Framework | 6.0.0 - 6.0.6 5.3.0 - 5.3.25 5.3之前的版本不受影响 |
| CVE-2023-20859 | Spring Vault、Spring Cloud Vault、Spring Cloud Config | Spring Vault影响版本如下 3.0.0 - 3.0.1 2.3.0 - 2.3.2 及更旧版本 Spring Cloud Vault影响版本如下 4.0.0 3.1.0 - 3.1.2 及更旧版本 Spring Cloud Config影响版本如下 4.0.0 - 4.0.1 3.1.0 到 3.1.6 及更早版本 |
修复建议
临时修复
针对 CVE-2023-20859:
Spring Vault 3.0.x 用户:应升级到 3.0.2。传递使用 Spring Vault 时,将 springvault-core 的依赖版本固定为 3.0.2。
Spring Vault 2.3.x 用户:应升级到 2.3.3。传递使用 Spring Vault 时,将 springvault-core 的依赖版本固定为 2.3.3。
其它用户:应使用服务令牌或将 org.springframework.vault.authentication.LifecycleAwareSessionManager 日志记录 器的日志级别至少提高到 ERROR。
君立华域虎贲实验室建议广大用户升级到安全版本。
下载地址:https://spring.io/projects/spring-framework/
| CVE编号 | 安全版本 |
|---|---|
| CVE-2023-20861 | Spring Framework| 6.0.7+ 5.3.26+ 5.2.23.RELEASE+ |
| CVE-2023-20860 | Spring Framework 6.0.7+ 5.3.26+ |
| CVE-2023-20859 | Spring Vault 3.0.2 2.3.3 Spring Cloud Vault 无 Spring Cloud Config 无 |
参考链接
https://spring.io/security/cve-2023-20860
https://spring.io/security/cve-2023-20861
https://spring.io/security/cve-2023-20859
END
