Spring Framework组件存在身份认证绕过漏洞，漏洞编号：CVE-2023-20860，漏洞威胁等级：高危。该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时，Spring Security和Spring MVC对匹配模式的处理存在差异性，攻击者可利用该漏洞在未授权的情况下，构造恶意数据绕过身份认证机制，最终登陆服务器后台。

Vmware Spring Framework是美国威睿（Vmware）公司的一套开源的Java、JavaEE应用程序框架，旨在为现代基于Java的企业应用程序提供一个全面的编程和配置模型。Spring Framework提供了应用程序级别的基础设施支持，为J2EE应用程序开发提供了轻量化、低耦合度、分层结构清晰、跨平台的开发基础设施。

（一）漏洞影响范围：

目前受影响的Spring Framework版本：

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

（二）漏洞修复建议：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/spring-projects/spring-framework/releases