領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-22258:Spring Authorization Server 中的 PKCE 降級漏洞
描述
Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 和更舊的不受支援版本容易受到機密客戶端的 PKCE 降級攻擊。
具體來說,當**機密客戶端**使用 PKCE 進行授權碼許可時,應用程式容易受到攻擊。
當**公共客戶端**使用 PKCE 進行授權碼許可時,應用程式不易受到攻擊。
受影響的 Spring 產品和版本
Spring Authorization Server
- 1.0.0 - 1.0.5
- 1.1.0 - 1.1.5
- 1.2.0 - 1.2.2
- 舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.6 | 僅提供企業支援 |
| 1.1.x | 1.1.6 | OSS |
| 1.2.x | 1.2.3 | OSS |
鳴謝
此問題由 Pieter Philippaerts 發現並負責任地報告 ([email protected])。
參考
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略