领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-22258: Spring Authorization Server 中的 PKCE 降级
描述
Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 版本以及较旧的不受支持版本容易受到针对机密客户端的 PKCE 降级攻击。
具体来说,当机密客户端将 PKCE 用于授权码授权时,应用程序容易受到攻击。
当公共客户端将 PKCE 用于授权码授权时,应用程序不易受攻击。
受影响的 Spring 产品和版本
Spring Authorization Server
- 1.0.0 - 1.0.5
- 1.1.0 - 1.1.5
- 1.2.0 - 1.2.2
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.6 | 仅限企业支持 |
| 1.1.x | 1.1.6 | OSS |
| 1.2.x | 1.2.3 | OSS |
致谢
此问题由 Pieter Philippaerts ([email protected]) 负责任地发现并报告。
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略