CVE-2023-20860: Lỗ hổng nghiêm trọng cao trong Spring Framework

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
CVE-2023-20860: Lỗ hổng nghiêm trọng cao trong Spring Framework
Spring Framework đã giải quyết hai lỗ hổng CVE-2023-20860 và CVE-2023-20861 trong các phiên bản 6.0.7 và 5.3.26.

spring_framework.jpg

Lỗ hổng CVE-2023-20860 có điểm CVSS là 8,8, liên quan đến lỗi vượt qua cơ chế bảo mật khi xử lý các mẫu ký tự đại diện kép không có tiền tố (un-prefixed double wildcard). Cấu hình này tạo ra sự khác biệt mẫu giữa Spring Security và Spring MVC, có thể dẫn đến cho phép truy cập trái phép.

Lỗ hổng ảnh hưởng đến các phiên bản Spring framework 6.0.0 đến 6.0.6 và 5.3.0 đến 5.3.25. Các phiên bản cũ hơn 5.3 không bị ảnh hưởng. Để giảm thiểu rủi ro, nhà phát triển nên cập nhật lên Spring framework phiên bản 6.0.7+ hoặc 5.3.26+.

Lỗ hổng thứ hai có mã định danh là CVE-2023-2086 và điểm CVSS 5,3 liên quan đến lỗi tấn công từ chối dịch vụ (DoS) Spring Expression (SpEL). Trong các phiên bản Spring framework 6.0.0 đến 6.0.6, 5.3.0 đến 5.3.25, 5.2.0.RELEASE đến 5.2.22.RELEASE và các phiên bản cũ hơn không còn được hỗ trợ, hacker có thể tạo biểu thức SpEL độc hại dẫn đến tình trạng DoS .

Để giảm thiểu lỗ hổng này, người dùng nên nâng cấp phiên bản 6.0.x lên 6.0.7+, phiên bản 5.3.x lên 5.3.26+, phiên bản 5.2.x nâng cấp lên 5.2.23.RELEASE+

Đối với các phiên bản cũ hơn không còn được hỗ trợ, người dùng nên cập nhật lên phiên bản 6.0.7+ hoặc 5.3.26+ để bảo vệ doanh nghiệp của mình khỏi những lỗ hổng này.

Nguồn: Security Online
 
Thẻ
cve-2023-20860 cve-2023-20861 spring framework
Bên trên