嚴重 | Spring Security OAuth拒絕服務漏洞

VSole2022-04-21 15:22:32

0x01

漏洞狀態

漏洞細節

漏洞POC

漏洞EXP

在野利用

否

未知

0x02

漏洞描述

OAuth （開放授權）是一個開放標準，允許用戶授權第三方應用以便訪問他們存儲在其他服務提供者上的信息，而不需要用戶將用戶名和密碼提供給第三方應用或分享用戶數據的所有內容。

2022年4月21日，Spring發布安全公告，修復了一個Spring Security OAuth中的拒絕服務漏洞。漏洞編號：CVE-2022-22969，漏洞威脅等級：嚴重。

Spring Security OAuth拒絕服務漏洞

漏洞編號

CVE-2022-22969

漏洞類型

拒絕服務

漏洞等級

嚴重

公開狀態

未知

在野利用

未知

漏洞描述

受影響的Spring Security OAuth容易通過在OAuth 2.0 客戶端應用程序中啟動授權請求而受到拒絕服務 (DoS) 攻擊。惡意用戶或攻擊者可以發送多個請求來啟動授權代碼授予的授權請求，這有可能使用單個會話耗盡系統資源。此漏洞僅暴露 OAuth 2.0 客戶端應用程序。

0x03

漏洞等級

嚴重

0x04

影響版本

Spring Security OAuth

- 2.5.2 之前的 2.5.x

- 舊的，不受支持的版本

0x05

修復建議

廠商已發布補丁修復漏洞，用戶請盡快更新至安全版本：

2.5.2+

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

0x06

時間軸

2022-04-21

Spring發布安全公告，修復了一個Spring Security OAuth中的拒絕服務漏洞。漏洞編號：CVE-2022-22969，漏洞威脅等級：嚴重。

2022-04-21

360漏洞云發布安全動態。

oauth拒絕服務攻擊

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接