描述

Spring Security OAuth 2.5.x 版本（2.5.2 之前的版本）和較舊的不受支援的版本容易受到拒絕服務 (DoS) 攻擊，攻擊透過在 OAuth 2.0 客戶端應用程式中啟動授權請求進行。惡意使用者或攻擊者可以傳送多個請求，啟動授權碼授權的授權請求，這有可能使用單個會話耗盡系統資源。此漏洞僅暴露 OAuth 2.0 客戶端應用程式。

受影響的 Spring 產品和版本

• Spring Security OAuth
  • 2.5.x 版本（2.5.2 之前的版本）
  • 較舊的，不受支援的版本

緩解措施

受影響版本的使用者應升級到以下版本

• Spring Security OAuth
  • 2.5.2+

致謝

此問題由 Macchinetta/TERASOLUNA Framework Development Team 識別並負責任地報告。

參考

• https://springframework.tw/blog/2022/04/21/cve-report-published-for-spring-security-oauth

歷史

• 2022-04-21：釋出初始漏洞報告。