Question

Spring Framework身份验证绕过漏洞（CVE-2023-20860）通告 一、风险通告 2023年3月22日，安信天行安全运营中心监测到监测到Spring 官方发布安全通告，修复了一个Spring Framework身份验证绕过漏洞（CVE-2023-20860），鉴于该框架应用广泛，建议客户尽快自查升级。 二、漏洞描述 Spring Framework是一个开源的JavaEE应用程序框架，它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。 当Spring Security配置中用作"**"模式时，会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。未经身份验证的远程攻击者通过构造特制请求，最终可实现身份验证绕过访问后台信息。 三、影响范围 受影响版本： 6.0.0 <= Spring Framework <= 6.0.6 5.3.0 <= Spring Framework <= 5.3.25 注意：Spring Framework5.3之前的版本不受影响 不受影响版本： Spring Framework >= 6.0.7 Spring Framework >=5.3.26 您好 麻烦问一下与我们购买的iserver有没有影响

Answer 1

您好，目前iserver是会受到该漏洞影响的，针对该安全漏洞已提交研发解决，研发解决后我会及时联系您。您告知一下您使用的iserver版本，研发解决后我这边给您提供解决后的临时包。再次感谢您反馈的问题，让我们产品越来越完善。希望下次发现新的问题能及时联系我们，谢谢！

Comments

好的 感谢
版本是SuperMap iServer 10i(2021) (10.2.0-win64)
还是想问一下Spring Framework是在什么位置 想查看当前版本、替换其他版本 在哪啦查看操作

---

当前版本可以在iserver包的这个位置查看，如下图版本为5.3.9，目前不支持直接替换哈，直接替换iserver会启动失败。

---

收到  这个问题您那边解决之后 还麻烦跟我们说一下

---

好的，研发解决后我会及时联系您。

---

您好，该漏洞我们已经解决，临时包我私信发您网盘链接，提供版本为1021windows版本，请注意查收。

---

收到 非常感谢

这个是把旧的关闭 把这个版本的启动就可以了吗 用不用替换什么呢

---

iserver的备份迁移参考博客：https://blog.csdn.net/supermapsupport/article/details/126296927

---

收到 非常感谢

我们还有一个Linux版本的 也需要更新吧 还得麻烦您提供一个Linux版本的

Powered by SuperMap iServer 10i(2021) (10.2.0-linux64) © 2000-2021 北京超图软件股份有限公司

---

已私信发您。

---

您好  更新玩完个版本之后 iserver总是卡死 删除或者发布服务都会直接卡住