描述

Spring Security OAuth，版本 2.3（2.3.3 之前）、2.2（2.2.2 之前）、2.1（2.1.2 之前）、2.0（2.0.15 之前）以及更早的已不支持版本，存在远程代码执行漏洞。当资源所有者被转发到审批端点时，恶意用户或攻击者可以构造一个发往授权端点的授权请求，从而导致远程代码执行。

此漏洞暴露了满足以下所有要求的应用程序

• 扮演授权服务器角色（例如 @EnableAuthorizationServer）
• 使用默认审批端点

此漏洞不会暴露以下应用程序：

• 扮演授权服务器角色，但覆盖默认的审批端点
• 仅扮演资源服务器角色（例如 @EnableResourceServer）
• 仅扮演客户端角色（例如 @EnableOAuthClient）

受影响的 Spring 产品和版本

• Spring Security OAuth 2.3 至 2.3.2
• Spring Security OAuth 2.2 至 2.2.1
• Spring Security OAuth 2.1 至 2.1.1
• Spring Security OAuth 2.0 至 2.0.14
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.3.x 用户应升级至 2.3.3
• 2.2.x 用户应升级至 2.2.2
• 2.1.x 用户应升级到 2.1.2
• 2.0.x 用户应升级至 2.0.15
• 旧版本应升级到受支持的分支

无需其他缓解措施。

致谢

此问题由 GoSecure 的 Philippe Arteau 发现并负责任地报告。

参考资料

• Spring Security OAuth 文档，请参见“授权服务器配置”部分。
• 用于 @EnableAuthorizationServer 的示例配置。

历史

2018-05-09：初始漏洞报告发布