spring-security-oauth2-client 权限提升漏洞

时间:2022-11-04 07:12:59

漏洞描述

Spring Security 是基于 Spring 的一个提供身份验证、授权和防止常见攻击的框架。

Spring Security 的受影响版本中存在权限提升漏洞,攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空作用域列表的 "OAuth2 Access Token Response" 响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。

漏洞名称 spring-security-oauth2-client 权限提升漏洞
漏洞类型 特权管理不恰当
发现时间 2022-11-01
漏洞影响广度 广
MPS编号 MPS-2022-12720
CVE编号 CVE-2022-31690
CNVD编号 -

影响范围

org.springframework.security:spring-security-oauth2-client@[5.6, 5.6.9)

org.springframework.security:spring-security-oauth2-client@[5.7, 5.7.5)

修复方案

升级org.springframework.security:spring-security-oauth2-client到 5.6.9 或 5.7.5 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-12720

https://nvd.nist.gov/vuln/detail/CVE-2022-31690

https://github.com/spring-projects/spring-security/commit/75004587a419a96d18909030b20c6b16b226ecbe

https://spring.io/blog/2022/10/31/cve-2022-31690-privilege-escalation-in-spring-security-oauth2-client

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

spring-security-oauth2-client 权限提升漏洞

相关文章