网信安全
    关于Spring Boot安全绕过漏洞(CVE-2023-20873)的预警提示

     

    一、漏洞详情

    Spring Boot是一个基于Java的开源框架,目的是为了简化Spring应用的初始搭建以及开发过程。

    Spring发布安全公告,修复了Spring Boot中的一个安全绕过漏洞(CVE-2023-20873)。当把应用程序部署到Cloud Foundry,且存在可以处理匹配/cloudfoundryapplication/**的请求的代码时(如果存在与/**匹配的全面请求映射),则可以通过Cloud Foundry上的通配符模式匹配进行安全绕过。

    建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

    二、影响范围

    Spring Boot 版本:3.0.0 - 3.0.5

    Spring Boot 版本:2.7.0 - 2.7.10

    以及不受支持的旧版本。

    三、修复建议

    目前该漏洞已经修复,受影响用户可升级到以下版本:

    Spring Boot 3.0.x用户应升级到:>= 3.0.6

    Spring Boot 2.7.x用户应升级到:>= 2.7.11

    使用不受支持的旧版本的Spring Boot用户应升级到:3.0.6、2.7.11或更高版本。