领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2022-22969: spring-security-oauth2 中的拒绝服务 (DoS) 漏洞
描述
Spring Security OAuth 2.5.x 版本(低于 2.5.2)及更旧的不受支持版本容易受到拒绝服务 (DoS) 攻击,攻击者可通过在 OAuth 2.0 客户端应用程序中启动授权请求进行攻击。恶意用户或攻击者可以发送多个请求,为授权码授权启动授权请求,这有可能在单个会话中耗尽系统资源。此漏洞仅影响 OAuth 2.0 客户端应用程序。
受影响的 Spring 产品和版本
- Spring Security OAuth
- 2.5.x 版本(低于 2.5.2)
- 更旧的不受支持版本
缓解措施
受影响版本的用户应升级到以下版本
- Spring Security OAuth
- 2.5.2+
致谢
此问题由 Macchinetta/TERASOLUNA 框架开发团队发现并负责任地报告。
参考资料
历史
- 2022-04-21:发布了初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略