描述

在针对OAuth 2 API提供商授权应用程序时，Spring Social 容易受到跨站请求伪造 (CSRF) 攻击。攻击涉及恶意用户使用OAuth 2 API提供商的虚假帐户启动OAuth 2授权流程，但通过诱骗受害者访问其浏览器中的回调请求来完成该流程。结果，攻击者将通过虚假提供商帐户访问易受攻击站点上的受害者帐户。

受影响的Spring产品和版本

• Spring Social Core 1.0.0 到 1.0.3
• Spring Social Core 1.1.0 到 1.1.2

缓解措施

使用受影响的Spring Social版本的用户应按如下方式升级：

• 对于Spring Social 1.0.x，升级到1.1.3+
• 对于Spring Social 1.1.x，升级到1.1.3+

在上述版本中，Spring Social要求回调请求中存在`state`参数。如果找不到，则会抛出IllegalStateException异常并终止授权流程。

致谢

Include Security的Kris Bosch首先发现了这个问题。sourceclear的Paul Ambrosini (https://srcclr.com) 随后确定了根本原因、易受攻击的库和易受攻击的代码。

参考资料

• https://blog.srcclr.com/spring-social-core-vulnerability-disclosure/

历史记录

2015年11月12日：发布初始漏洞报告。