国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873

2年前作者:冰點(diǎn).分類:Toy博客閱讀(23)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。


Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873,# Spring Framework 漏洞解決,# Spring Boot 知識(shí)集錦,spring cloud,安全,服務(wù)器

0.前言

背景:公司項(xiàng)目掃描到 Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873

CVE-2023-20873:在Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)
高風(fēng)險(xiǎn) | 2023年5月18日 | CVE-2023-20873

在Spring Boot版本3.0.0 - 3.0.5, 2.7.0 - 2.7.10, 2.6.0 - 2.6.14, 2.5.0 - 2.5.14以及舊版支持的版本中,部署在Cloud Foundry的應(yīng)用可能容易受到安全繞過(guò)。

1.參考文檔

CVE 官方網(wǎng)站 https://www.cve.org/CVERecord?id=CVE-2023-20873
Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873,# Spring Framework 漏洞解決,# Spring Boot 知識(shí)集錦,spring cloud,安全,服務(wù)器

2.基礎(chǔ)介紹

CVE-2023-20873:在Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)
高風(fēng)險(xiǎn) | 2023年5月18日 | CVE-2023-20873

描述

在Spring Boot版本3.0.0 - 3.0.5, 2.7.0 - 2.7.10, 2.6.0 - 2.6.14, 2.5.0 - 2.5.14以及舊版支持的版本中,部署在Cloud Foundry的應(yīng)用可能容易受到安全繞過(guò)。

具體來(lái)說(shuō),當(dāng)滿足以下所有條件時(shí),應(yīng)用程序是脆弱的:

你有可以處理匹配/cloudfoundryapplication/**的請(qǐng)求的代碼。通常,這將是如果有一個(gè)能匹配/**的全局請(qǐng)求映射。
應(yīng)用程序部署在Cloud Foundry上。 注意:使用Spring Cloud Config
Server的應(yīng)用程序默認(rèn)可以處理對(duì)/cloudfoundryapplication/**的請(qǐng)求,并且如果部署在Cloud
Foundry上可能會(huì)變得脆弱。

如果滿足以下任一條件,應(yīng)用程序就不會(huì)有太大風(fēng)險(xiǎn):

應(yīng)用程序沒(méi)有部署在Cloud Foundry上
你已經(jīng)通過(guò)將management.cloudfoundry.enabled設(shè)置為false來(lái)禁用Cloud Foundry的行動(dòng)者端點(diǎn)。
你的應(yīng)用程序沒(méi)有可以處理對(duì)/cloudfoundryapplication/**的請(qǐng)求的處理映射。

受影響的Spring產(chǎn)品和版本

Spring Boot

3.0.0到3.0.5
2.7.0到2.7.10
2.6.0到2.6.14
2.5.0到2.5.14
也受影響的舊版本和不再支持的版本

3.解決方案

3.1. 升級(jí)版本

受影響版本的用戶應(yīng)該應(yīng)用以下措施:
3.0.x用戶應(yīng)該升級(jí)到3.0.6+。2.7.x用戶應(yīng)該升級(jí)到2.7.11+。2.6.x用戶應(yīng)該升級(jí)到2.6.15+2.5.x用戶應(yīng)該升級(jí)到2.5.15+。舊版和不再支持的版本的用戶應(yīng)該升級(jí)到3.0.6+或者2.7.11+

3.2. 替代方案

== 通過(guò)將management.cloudfoundry.enabled設(shè)置為false來(lái)禁用Cloud Foundry的行動(dòng)者端點(diǎn)。==文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-705479.html

到了這里,關(guān)于Spring Cloud Foundry上使用通配符模式匹配進(jìn)行的安全繞過(guò)漏洞 CVE-2023-20873的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • leetcode-動(dòng)態(tài)規(guī)劃-44-通配符匹配

    給你一個(gè)輸入字符串 (s) 和一個(gè)字符模式 § ,請(qǐng)你實(shí)現(xiàn)一個(gè)支持 ‘?’ 和 ‘ ’ 匹配規(guī)則的通配符匹配: ‘?’ 可以匹配任何單個(gè)字符。 \\\' ’ 可以匹配任意字符序列(包括空字符序列)。 判定匹配成功的充要條件是:字符模式必須能夠 完全匹配 輸入字符串(而不是部分匹配

    2024年02月12日
    瀏覽(22)

  • 算法leetcode|44. 通配符匹配(rust重拳出擊)

    給定一個(gè)字符串 ( s ) 和一個(gè)字符模式 ( p ) ,實(shí)現(xiàn)一個(gè)支持 \\\'?\\\' 和 \\\'*\\\' 的通配符匹配。 兩個(gè)字符串 完全匹配 才算匹配成功。 說(shuō)明: s 可能為空,且只包含從 a-z 的小寫字母。 p 可能為空,且只包含從 a-z 的小寫字母,以及字符 ? 和 * 。 面對(duì)這道算法題目,二當(dāng)家的再次陷入了沉

    2023年04月09日
    瀏覽(14)
  • 【LeetCode: 44. 通配符匹配 | 暴力遞歸=>記憶化搜索=>動(dòng)態(tài)規(guī)劃 】

    【LeetCode: 44. 通配符匹配 | 暴力遞歸=>記憶化搜索=>動(dòng)態(tài)規(guī)劃 】

    ?? 算法題 ?? ?? 算法刷題專欄 | 面試必備算法 | 面試高頻算法 ?? ?? 越難的東西,越要努力堅(jiān)持,因?yàn)樗哂泻芨叩膬r(jià)值,算法就是這樣? ?? 作者簡(jiǎn)介:碩風(fēng)和煒,CSDN-Java領(lǐng)域優(yōu)質(zhì)創(chuàng)作者??,保研|國(guó)家獎(jiǎng)學(xué)金|高中學(xué)習(xí)JAVA|大學(xué)完善JAVA開(kāi)發(fā)技術(shù)棧|面試刷題|面經(jīng)八股文

    2024年02月06日
    瀏覽(59)

  • spring 2.7.14 cors 設(shè)置 allowedOrigins(“*“)通配符 失效怎么解決

    失效代碼: 失效原因: ?解決方法: 將allowCredentials()設(shè)置為false

    2024年02月12日
    瀏覽(16)
  • rabbitmq topic模式設(shè)置#通配符情況下 消費(fèi)者隊(duì)列未接收消息問(wèn)題排查解決

    rabbitmq topic模式設(shè)置#通配符情況下 消費(fèi)者隊(duì)列未接收消息問(wèn)題排查解決

    生產(chǎn)者配置 Exchange:topic_exchange_shcool Routing key:topic.shcool.# 消費(fèi)者代碼配置 Exchange:topic_exchange_shcool Routing key:topic.shcool.user 其實(shí)以上代碼看著沒(méi)有問(wèn)題,意思是代碼生成一個(gè)隊(duì)列,并把【topic.shcool.user】隊(duì)列和生產(chǎn)者的【topic_exchange_shcool】exchange綁定,但是生產(chǎn)者發(fā)送消息是

    2024年02月11日
    瀏覽(39)
  • 1748_Perl中使用通配符處理文件

    1748_Perl中使用通配符處理文件

    全部學(xué)習(xí)匯總: GreyZhang/perl_basic: some perl basic learning notes. (github.com) ???????? 使用通配符處理文件一般是用于文件的拷貝、刪除以及對(duì)文件逐個(gè)分析等功能。在Perl中遇到的相應(yīng)的功能基本上也是如此。通配符匹配處理文件(文件名)需要使用glob指令。 ???????? 寫個(gè)簡(jiǎn)

    2024年02月11日
    瀏覽(20)
  • MySQL使用通配符進(jìn)行數(shù)據(jù)搜索以及過(guò)濾

    MySQL使用通配符進(jìn)行數(shù)據(jù)搜索以及過(guò)濾

    目錄 1.什么是通配符? 2.通配符之→百分號(hào)(%) 3.通配符之→下劃線(_) 4.通配符使用注意事項(xiàng) *本文涉及概念來(lái)源于圖靈程序設(shè)計(jì)叢書,數(shù)據(jù)庫(kù)系列——《MySQL必知必會(huì)》 通配符(wildcard) :用來(lái)匹配值的一部分的特殊字符。簡(jiǎn)單來(lái)說(shuō),就是在進(jìn)行數(shù)據(jù)庫(kù)查找時(shí),并不總是明確知道

    2024年02月01日
    瀏覽(18)

  • 使用certbot申請(qǐng)https通配符證書【阿里云篇】

    解決阿里云 DNS 不能自動(dòng)為通配符證書續(xù)期的問(wèn)題 當(dāng)我們使用 certbot 申請(qǐng) 通配符 證書時(shí),需要手動(dòng)添加 TXT 記錄。每個(gè) certbot 申請(qǐng)的證書有效期為 3 個(gè)月,雖然 certbot 提供了自動(dòng)續(xù)期命令,但是當(dāng)我們把自動(dòng)續(xù)期命令配置為定時(shí)任務(wù)時(shí),我們無(wú)法手動(dòng)添加新的 TXT 記錄用于

    2024年02月19日
    瀏覽(27)

  • javaee 泛型的上下邊界和通配符的使用

    2024年02月14日
    瀏覽(15)
  • office辦公技能|word中的常見(jiàn)通配符使用

    office辦公技能|word中的常見(jiàn)通配符使用

    操作方法: 1、快捷鍵 Ctrl+H,打開(kāi)Word的查找替換窗口,單擊【更多】按鈕,勾選“使用通配符”。 2、在查找內(nèi)容處,輸入“替換內(nèi)容*^13”,替換為處什么都不填。 3、單擊【全部替換】。 (1)點(diǎn)擊【開(kāi)始】-【編輯】-【替換】按鈕或按【Ctrl+H】組合鍵,打開(kāi)“查找與替換”

    2024年01月20日
    瀏覽(26)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包