Spring Framework組件存在身份認證繞過漏洞，漏洞編號：CVE-2023-20860，漏洞威脅等級：高危。該漏洞是由于Spring Security使用mvcRequestMatcher配置并將"**"作為匹配模式時，Spring Security和Spring MVC對匹配模式的處理存在差異性，攻擊者可利用該漏洞在未授權的情況下，構造惡意數據繞過身份認證機制，最終登陸服務器后臺。

Vmware Spring Framework是美國威睿（Vmware）公司的一套開源的Java、JavaEE應用程序框架，旨在為現代基于Java的企業應用程序提供一個全面的編程和配置模型。Spring Framework提供了應用程序級別的基礎設施支持，為J2EE應用程序開發提供了輕量化、低耦合度、分層結構清晰、跨平臺的開發基礎設施。

（一）漏洞影響范圍：

目前受影響的Spring Framework版本：

Spring Framework 6.0.x ≤ 6.0.6

Spring Framework 5.3.x ≤ 5.3.25

（二）漏洞修復建議：

當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。鏈接如下：

https://github.com/spring-projects/spring-framework/releases