描述

在使用 Spring Security 的 CAS 代理票证身份验证时，恶意的 CAS 服务可能会欺骗另一个 CAS 服务，使其验证一个未关联的代理票证。这是因为代理票证身份验证使用了 HttpServletRequest 中的信息，而该信息是根据 HTTP 请求中的不可信信息填充的。

这意味着，如果对哪些 CAS 服务可以相互进行身份验证存在访问控制限制，则可以绕过这些限制。

如果用户未使用 CAS 代理票证，并且不基于 CAS 服务做出访问控制决策，那么用户将不受影响。

受影响的 Spring 产品和版本

• 3.1 至 3.2.4

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.2x 的用户应升级到 3.2.5 或更高版本
• 3.1.x 的用户应升级到 3.1.7 或更高版本

致谢

此问题由 David Ohsie 发现，并由 CAS 开发团队引起了我们的注意。

参考资料

• https://springjava.cn/blog/2014/08/15/cve-2014-3527-fixed-in-spring-security-3-2-5-and-3-1-7
• https://jira.spring.io/browse/SEC-2688

历史

2014-Aug-17：发布了最初的漏洞报告。