首页 / 浏览问题 / 云GIS / 问题详情
Spring Framework身份验证绕过漏洞
mrm
40EXP 2023年03月24日
Spring Framework身份验证绕过漏洞(CVE-2023-20860)通告 一、风险通告 2023年3月22日,安信天行安全运营中心监测到监测到Spring 官方发布安全通告,修复了一个Spring Framework身份验证绕过漏洞(CVE-2023-20860),鉴于该框架应用广泛,建议客户尽快自查升级。 二、漏洞描述 Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。 当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。未经身份验证的远程攻击者通过构造特制请求,最终可实现身份验证绕过访问后台信息。 三、影响范围 受影响版本: 6.0.0 <= Spring Framework <= 6.0.6 5.3.0 <= Spring Framework <= 5.3.25 注意:Spring Framework5.3之前的版本不受影响 不受影响版本: Spring Framework >= 6.0.7 Spring Framework >=5.3.26 您好 麻烦问一下与我们购买的iserver有没有影响

1个回答

您好,目前iserver是会受到该漏洞影响的,针对该安全漏洞已提交研发解决,研发解决后我会及时联系您。您告知一下您使用的iserver版本,研发解决后我这边给您提供解决后的临时包。再次感谢您反馈的问题,让我们产品越来越完善。希望下次发现新的问题能及时联系我们,谢谢!
3,148EXP 2023年03月24日
好的 感谢
版本是SuperMap iServer 10i(2021) (10.2.0-win64)
还是想问一下Spring Framework是在什么位置 想查看当前版本、替换其他版本 在哪啦查看操作

当前版本可以在iserver包的这个位置查看,如下图版本为5.3.9,目前不支持直接替换哈,直接替换iserver会启动失败。

收到  这个问题您那边解决之后 还麻烦跟我们说一下
好的,研发解决后我会及时联系您。
您好,该漏洞我们已经解决,临时包我私信发您网盘链接,提供版本为1021windows版本,请注意查收。
收到 非常感谢

这个是把旧的关闭 把这个版本的启动就可以了吗 用不用替换什么呢

收到 非常感谢

我们还有一个Linux版本的 也需要更新吧 还得麻烦您提供一个Linux版本的

Powered by SuperMap iServer 10i(2021) (10.2.0-linux64) © 2000-2021 北京超图软件股份有限公司

已私信发您。
您好  更新玩完个版本之后 iserver总是卡死 删除或者发布服务都会直接卡住
...