領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2022-22969: spring-security-oauth2 中的拒絕服務 (DoS) 漏洞
描述
Spring Security OAuth 2.5.x 版本(低於 2.5.2)及更舊的不受支援版本容易受到拒絕服務 (DoS) 攻擊,攻擊者可透過在 OAuth 2.0 客戶端應用程式中啟動授權請求進行攻擊。惡意使用者或攻擊者可以傳送多個請求,為授權碼授權啟動授權請求,這有可能在單個會話中耗盡系統資源。此漏洞僅影響 OAuth 2.0 客戶端應用程式。
受影響的 Spring 產品和版本
- Spring Security OAuth
- 2.5.x 版本(低於 2.5.2)
- 更舊的不受支援版本
緩解措施
受影響版本的使用者應升級到以下版本
- Spring Security OAuth
- 2.5.2+
致謝
此問題由 Macchinetta/TERASOLUNA 框架開發團隊發現並負責任地報告。
參考資料
歷史
- 2022-04-21:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略