当前位置: 首页 > news >正文

Spring Cloud Foundry上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873

文章目录

  • 0.前言
  • 1.参考文档
  • 2.基础介绍
    • 描述
    • 如果满足以下任一条件,应用程序就不会有太大风险:
    • 受影响的Spring产品和版本
  • 3.解决方案
    • 3.1. 升级版本
    • 3.2. 替代方案

在这里插入图片描述

0.前言

背景:公司项目扫描到 Spring Cloud Foundry上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873

CVE-2023-20873:在Cloud Foundry上使用通配符模式匹配进行的安全绕过
高风险 | 2023年5月18日 | CVE-2023-20873

在Spring Boot版本3.0.0 - 3.0.5, 2.7.0 - 2.7.10, 2.6.0 - 2.6.14, 2.5.0 - 2.5.14以及旧版支持的版本中,部署在Cloud Foundry的应用可能容易受到安全绕过。

1.参考文档

CVE 官方网站 https://www.cve.org/CVERecord?id=CVE-2023-20873
在这里插入图片描述

2.基础介绍

CVE-2023-20873:在Cloud Foundry上使用通配符模式匹配进行的安全绕过
高风险 | 2023年5月18日 | CVE-2023-20873

描述

在Spring Boot版本3.0.0 - 3.0.5, 2.7.0 - 2.7.10, 2.6.0 - 2.6.14, 2.5.0 - 2.5.14以及旧版支持的版本中,部署在Cloud Foundry的应用可能容易受到安全绕过。

具体来说,当满足以下所有条件时,应用程序是脆弱的:

你有可以处理匹配/cloudfoundryapplication/**的请求的代码。通常,这将是如果有一个能匹配/**的全局请求映射。
应用程序部署在Cloud Foundry上。 注意:使用Spring Cloud Config
Server的应用程序默认可以处理对/cloudfoundryapplication/**的请求,并且如果部署在Cloud
Foundry上可能会变得脆弱。

如果满足以下任一条件,应用程序就不会有太大风险:

应用程序没有部署在Cloud Foundry上
你已经通过将management.cloudfoundry.enabled设置为false来禁用Cloud Foundry的行动者端点。
你的应用程序没有可以处理对/cloudfoundryapplication/**的请求的处理映射。

受影响的Spring产品和版本

Spring Boot

3.0.0到3.0.5
2.7.0到2.7.10
2.6.0到2.6.14
2.5.0到2.5.14
也受影响的旧版本和不再支持的版本

3.解决方案

3.1. 升级版本

受影响版本的用户应该应用以下措施:
3.0.x用户应该升级到3.0.6+2.7.x用户应该升级到2.7.11+2.6.x用户应该升级到2.6.15+2.5.x用户应该升级到2.5.15+。旧版和不再支持的版本的用户应该升级到3.0.6+或者2.7.11+

3.2. 替代方案

== 通过将management.cloudfoundry.enabled设置为false来禁用Cloud Foundry的行动者端点。==

http://www.lryc.cn/news/150875.html

相关文章:

  • 简述SpringMVC
  • vue竖向步骤条
  • java八股文面试[多线程]——Synchronized优化手段:锁膨胀、锁消除、锁粗化和自适应自旋锁
  • 【数据结构】队列---C语言版(详解!!!)
  • java:详解http模块request对象
  • 力扣20. 有效的括号
  • 用springboot+elasticserach7的demo,对比sider和百度ai的异同
  • Python的pymysql模块与MySQL数据库的互动:基础与实例
  • 滑动窗口实例1(长度最小的子数组)
  • EI、Scopus双检索| 2023年第四届自动化、机械与设计工程国际会议
  • 【混合时变参数系统参数估计算法】使用范数总和正则化和期望最大化的混合时变参数系统参数估计算法(Matlab代码实现)
  • vue的公共方法封装以及class高阶封装
  • OpenGL-入门-BMP像素图glReadPixels(1)实现读取屏幕中间的颜色和获取屏幕上鼠标点击位置的颜色
  • 斥资4亿,收购这家WLAN厂商,结果……
  • 【简单】2511. 最多可以摧毁的敌人城堡数目
  • Linux用一键安装包部署禅道(18.5版本)
  • 【2】openGL shader着色器分析三角形填色
  • mysql数据表Table is marked as crashed and should be repaired 的解决办法
  • 【Unity基础】1.项目搭建与视图编辑
  • C语言每日一练---Day(14)
  • 基于孔雀算法优化的BP神经网络(预测应用) - 附代码
  • 【小沐学Unity3d】3ds Max 骨骼动画制作(蒙皮修改器skin)
  • 【Latex】使用技能站:(三)使用 Vscode 配置 LaTeX
  • 诗诺克科技引领数字资产智能交易革命
  • 混合编程python与C++
  • 【单片机】单片机入门指南
  • 【PyQt】下载文件时弹出提示用户选择保存文件位置的对话框
  • 工具分享 | PDF文档解析工具PyMuPDF
  • QML Book 学习基础5(An Image Viewer)
  • 解决Jackson解析JSON时出现的Illegal Character错误