描述

Spring Security 5.7版本（5.7.5之前）和5.6版本（5.6.9之前）以及更舊的不受支援版本在某些條件下可能容易受到許可權提升的影響。惡意使用者或攻擊者可以修改客戶端（透過瀏覽器）向授權伺服器發起的請求，這可能導致在隨後的批准過程中發生許可權提升。如果授權伺服器在隨後向令牌端點請求訪問令牌時，以包含空範圍列表的OAuth2訪問令牌響應（根據RFC 6749，第5.1節）進行響應，則可能發生這種情況。

此漏洞暴露了滿足以下所有要求的應用程式

• 扮演登入客戶端的角色（例如http.oauth2Login()）
• 在客戶端應用程式中使用一個或多個授權規則，其中許可權從授權範圍對映（例如anyRequest().hasAuthority("SCOPE_message.write")）
• 註冊一個以空範圍列表響應的授權伺服器（根據RFC 6749，第5.1節）

此漏洞**不會**暴露以下應用程式

• 僅扮演資源伺服器的角色（例如http.oauth2ResourceServer()）
• 在客戶端應用程式中使用授權規則，其中許可權未從授權範圍對映（例如anyRequest().hasAuthority("ROLE_USER")）

受影響的 Spring 產品和版本

• Spring Security
  • 5.7 至 5.7.4
  • 5.6 至 5.6.8
  • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施：Spring Security 5.7 升級到 5.7.5，Spring Security 5.6 升級到 5.6.9。更舊的版本應升級到受支援的分支。無需其他緩解措施。已修復此問題的版本包括

• Spring Security
  • 5.7.5
  • 5.6.9

致謝

此問題由 Apache Software Foundation 的 Tobias Soloschenko (@klopfdreh) 發現並負責任地報告。

參考資料

• https://docs.springframework.tw/spring-security/reference/servlet/oauth2/login/index.html
• https://docs.springframework.tw/spring-security/reference/reactive/oauth2/login/index.html
• https://github.com/spring-projects/spring-security-samples/blob/4638e1e428ee2ddab234199eb3b67b9c94dfa08b/servlet/spring-boot/java/oauth2/webclient/src/main/java/example/SecurityConfiguration.java#L48
• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:M/IR:M/AR:X/MAV:N/MAC:L/MPR:L/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

歷史

• 2022-10-31: 初始漏洞報告發布。