Spring Framework組件存在身份認(rèn)證繞過(guò)漏洞，漏洞編號(hào)：CVE-2023-20860，漏洞威脅等級(jí)：高危。該漏洞是由于Spring Security使用mvcRequestMatcher配置并將"**"作為匹配模式時(shí)，Spring Security和Spring MVC對(duì)匹配模式的處理存在差異性，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)繞過(guò)身份認(rèn)證機(jī)制，最終登陸服務(wù)器后臺(tái)。

Vmware Spring Framework是美國(guó)威睿（Vmware）公司的一套開源的Java、JavaEE應(yīng)用程序框架，旨在為現(xiàn)代基于Java的企業(yè)應(yīng)用程序提供一個(gè)全面的編程和配置模型。Spring Framework提供了應(yīng)用程序級(jí)別的基礎(chǔ)設(shè)施支持，為J2EE應(yīng)用程序開發(fā)提供了輕量化、低耦合度、分層結(jié)構(gòu)清晰、跨平臺(tái)的開發(fā)基礎(chǔ)設(shè)施。

（一）漏洞影響范圍：

目前受影響的Spring Framework版本：

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

（二）漏洞修復(fù)建議：

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下：

https://github.com/spring-projects/spring-framework/releases