描述

在使用 Spring Security 的 CAS 代理票证身份验证时，恶意 CAS 服务可能会欺骗另一个 CAS 服务对未关联的代理票证进行身份验证。这是因为代理票证身份验证使用来自 HttpServletRequest 的信息，而 HttpServletRequest 是根据 HTTP 请求中不受信任的信息填充的。

这意味着，如果对哪些 CAS 服务可以相互进行身份验证存在访问控制限制，则可以绕过这些限制。

如果用户未使用 CAS 代理票证，并且未基于 CAS 服务做出访问控制决策，则对用户没有影响。

受影响的 Spring 产品和版本

• 3.1 到 3.2.4

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.2x 用户应升级到 3.2.5 或更高版本
• 3.1.x 用户应升级到 3.1.7 或更高版本

致谢

此问题由 David Ohsie 发现，并由 CAS 开发团队告知我们。

参考文献

• https://springframework.org.cn/blog/2014/08/15/cve-2014-3527-fixed-in-spring-security-3-2-5-and-3-1-7
• https://jira.spring.io/browse/SEC-2688

历史记录

2014年8月17日：发布初始漏洞报告。