菜单
漏洞描述:
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
2023年7月17日, Spring发布安全公告,修复了一个Spring Security 中的 认证规则配置错误漏洞。如果应用程序使用 requestMatchers(String) 和多个 servlet(其中一个是 Spring MVC 的 DispatcherServlet),则可能会受到授权规则配置错误的影响。漏洞编号:CVE-2023-34035,漏洞威胁等级:高危。
影响版本:
5.8.0<=Spring Security<=5.8.4
6.0.0<=Spring Security<=6.0.4
6.1.0<=Spring Security<=6.1.1
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Spring Security 版本6.1.x 用户:升级到 6.1.2
Spring Security 版本6.0.x 用户:升级到 6.0.5
Spring Security 版本5.8.x 用户:升级到 5.8.5
参考链接:
https://spring.io/security/cve-2023-34035
粤公网安备 44010402002568号