Spring Framework 身份认证绕过漏洞(CVE-2023-20860) 修复
项目服务器报了一个应用漏洞:Spring Framework 身份认证绕过漏洞(CVE-2023-20860) 。漏洞详情里提供了修复方法:
厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞
通过 mvn repository 中 spring boot,发现 spring boot 2 里面只有最新的 2.7.10 没有漏洞报警,其他的不管什么版本都附带了两到三个报警信息。也就是说我直接升级 spring boot 2 的版本不太容易实现,且 2.* 这也算是大的版本更新了,不确定兼容性。
所以最好的办法就是指定引入 spring framework 版本(通过 boot 依赖查询到当前引入的 framework 版本为 5.3.*):
<properties>
...
<spring-framework.version>5.3.26</spring-framework.version>
</properties>
更新 maven 依赖,从外部库里可以看到 org.springframework:*:5.3.26
,说明更新好了。