Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Spring Framework, que permitirían a un atacante realizar omisión de autenticación y provocar denegación de servicios (DoS) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2023-20860, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla en la autenticación al utilizar un comodín doble sin prefijo «* *» en el patrón de configuración de Spring Security con mvcRequestMatcher de Spring Framework. Esto permitiría a un atacante remoto a través de la utilización de patrones de configuración, obtener acceso no autorizado al sistema afectado.
- CVE-2023-20861, de severidad “Media”, con una puntuación asignada de 5.3. Esta vulnerabilidad se debe a una falla en el control de datos de entrada en Spring Expression (SpEL) de Spring Framework. Esto permitiría a un atacante remoto crear una expresión SpEL especialmente diseñada y provocar denegación de servicios (DoS) en el sistema afectado.
Las versiones afectadas son:
- Spring Framework, versiones 6.0.0 a 6.0.6.
- Spring Framework, versiones 5.3.0 a 5.3.25.
- Spring Framework, versiones 5.2.0.RELEASE a 5.2.22.RELEASE.
- Versiones no soportadas.
Recomendamos acceder a las actualizaciones correspondientes proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-20860-high-severity-vulnerability-in-spring-framework/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20860
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20861
- https://spring.io/blog/2023/03/20/spring-framework-6-0-7-and-5-3-26-fix-cve-2023-20860-and-cve-2023-20861/
- https://spring.io/security/cve-2023-20860
- https://spring.io/security/cve-2023-20861
- https://github.com/spring-projects/spring-framework/releases/tag/v6.0.7
- https://github.com/spring-projects/spring-framework/releases/tag/v5.3.26