描述

Spring Security 5.5.x 版本在 5.5.1 之前、5.4.x 版本在 5.4.7 之前、5.3.x 版本在 5.3.10 之前和 5.2.x 版本在 5.2.11 之前容易受到通过在 OAuth 2.0 客户端 Web 和 WebFlux 应用程序中发起授权请求进行的拒绝服务 (DoS) 攻击。恶意用户或攻击者可以发送多个请求，发起授权码授权的授权请求，这可能会通过单个会话或多个会话耗尽系统资源。此漏洞会影响使用 HttpSessionOAuth2AuthorizationRequestRepository (Servlet) 和 WebSessionOAuth2ServerAuthorizationRequestRepository (Reactive) 的 OAuth 2.0 客户端应用程序。

受影响的 Spring 产品和版本

• Spring Security
  • 5.5.x 在 5.5.1 之前
  • 5.4.x 在 5.4.7 之前
  • 5.3.x 在 5.3.10 之前
  • 5.2.x 在 5.2.11 之前

缓解措施

受影响版本的用户应升级到以下版本

• Spring Security
  • 5.5.1
  • 5.4.7
  • 5.3.10
  • 5.2.11

致谢

此问题由 Craig Andrews (github.com/candrews) 发现并负责任地报告。

参考资料

• https://docs.springjava.cn/spring-security/site/docs/current/reference/html5/#storing-the-authorization-request

历史

• 2021-06-28：发布了初始漏洞报告。