描述

Spring Security OAuth，2.3 版本低於 2.3.3、2.2 版本低於 2.2.2、2.1 版本低於 2.1.2、2.0 版本低於 2.0.15 以及更舊的不受支援的版本，包含一個遠端程式碼執行漏洞。惡意使用者或攻擊者可以構造一個授權請求傳送到授權端點，當資源所有者被轉發到審批端點時，可能導致遠端程式碼執行。

此漏洞會暴露滿足以下所有要求的應用程式

• 充當授權伺服器（例如 @EnableAuthorizationServer）
• 使用預設的審批端點

此漏洞不會暴露以下應用程式

• 充當授權伺服器但覆蓋預設審批端點
• 僅充當資源伺服器（例如 @EnableResourceServer）
• 僅充當客戶端（例如 @EnableOAuthClient）

受影響的 Spring 產品和版本

• Spring Security OAuth 2.3 到 2.3.2
• Spring Security OAuth 2.2 到 2.2.1
• Spring Security OAuth 2.1 到 2.1.1
• Spring Security OAuth 2.0 到 2.0.14
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 2.3.x 使用者應升級到 2.3.3
• 2.2.x 使用者應升級到 2.2.2
• 2.1.x 使用者應升級到 2.1.2
• 2.0.x 使用者應升級到 2.0.15
• 較舊版本應升級到受支援的分支

無需其他緩解步驟。

鳴謝

此問題由 GoSecure 的 Philippe Arteau 發現並負責任地報告。

參考

• Spring Security OAuth 文件，請參閱“授權伺服器配置”部分
• @EnableAuthorizationServer的示例配置

歷史

2018-05-09：釋出初始漏洞報告