一、漏洞概述
二、漏洞描述
Spring Security 是基于 Spring 的一个提供身份验证、授权和防止常见攻击的框架。
Spring Security 的受影响版本中存在权限提升漏洞,攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空范围列表的‘OAuth2 Access Token Response’响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。
三、影响范围
org.springframework.security:spring-security-oauth2-client@[5.6, 5.6.9)
org.springframework.security:spring-security-oauth2-client@[5.7, 5.7.5)
四、修复方案
升级org.springframework.security:spring-security-oauth2-client到 5.6.9 或 5.7.5 或更高版本
下载链接:https://github.com/spring-projects/spring-security/tags
五、参考链接
https://www.oscs1024.com/hd/MPS-2022-12720https://nvd.nist.gov/vuln/detail/CVE-2022-31690https://github.com/spring-projects/spring-security/commit/75004587a419a96d18909030b20c6b16b226ecbehttps://spring.io/blog/2022/10/31/cve-2022-31690-privilege-escalation-in-spring-security-oauth2-client
END
• 往期精选
下方点击关注发现更多精彩