描述

Spring Cloud SSO Connector 2.1.2 版本包含一个回归，该回归禁用了未绑定到 SSO 服务的资源服务器中的发行者验证。在具有多个 SSO 服务计划的 PCF 部署中，远程攻击者可以通过使用从另一个服务计划生成的令牌，向未使用此版本 SSO Connector 的未绑定资源服务器进行身份验证。

受影响的 Spring 产品和版本

• Spring Cloud SSO Connector 版本 2.1.2

缓解措施

受影响版本的用户应采取以下缓解措施

• 已修复此问题的发布版本包括
  • Spring Cloud SSO Connector: 2.1.3
• 或者，您可以执行以下一种解决方法
  • 通过服务实例绑定将资源服务器绑定到 SSO 服务计划
  • 在您的 Spring 应用程序属性中设置“sso.connector.cloud.available=true”

致谢

此漏洞由 Pivotal SSO 服务团队负责任地报告。

历史

2018-04-30：初始漏洞报告发布