描述

Spring Security OAuth，版本 2.3（2.3.3 之前）、2.2（2.2.2 之前）、2.1（2.1.2 之前）、2.0（2.0.15 之前）以及更早的已不支援版本，存在遠端程式碼執行漏洞。當資源所有者被轉發到審批端點時，惡意使用者或攻擊者可以構造一個發往授權端點的授權請求，從而導致遠端程式碼執行。

此漏洞暴露了滿足以下所有要求的應用程式

• 扮演授權伺服器角色（例如 @EnableAuthorizationServer）
• 使用預設審批端點

此漏洞不會暴露以下應用程式：

• 扮演授權伺服器角色，但覆蓋預設的審批端點
• 僅扮演資源伺服器角色（例如 @EnableResourceServer）
• 僅扮演客戶端角色（例如 @EnableOAuthClient）

受影響的 Spring 產品和版本

• Spring Security OAuth 2.3 至 2.3.2
• Spring Security OAuth 2.2 至 2.2.1
• Spring Security OAuth 2.1 至 2.1.1
• Spring Security OAuth 2.0 至 2.0.14
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.3.x 使用者應升級至 2.3.3
• 2.2.x 使用者應升級至 2.2.2
• 2.1.x 使用者應升級到 2.1.2
• 2.0.x 使用者應升級至 2.0.15
• 舊版本應升級到受支援的分支

無需其他緩解措施。

致謝

此問題由 GoSecure 的 Philippe Arteau 發現並負責任地報告。

參考資料

• Spring Security OAuth 文件，請參見“授權伺服器配置”部分。
• 用於 @EnableAuthorizationServer 的示例配置。

歷史

2018-05-09：初始漏洞報告發布