描述

Spring Cloud SSO Connector 2.1.2 版本包含一个回归，该回归禁用了未绑定到 SSO 服务的资源服务器中的发行者验证。 在具有多个 SSO 服务计划的 PCF 部署中，远程攻击者可以使用从另一个服务计划生成的令牌，对使用此版本的 SSO Connector 的未绑定资源服务器进行身份验证。

受影响的 Spring 产品和版本

• Spring Cloud SSO Connector 2.1.2 版本

缓解措施

受影响版本的用户应采取以下缓解措施

• 已修复此问题的版本包括
  • Spring Cloud SSO Connector：2.1.3
• 或者，您可以执行以下其中一项解决方法
  • 通过服务实例绑定将您的资源服务器绑定到 SSO 服务计划
  • 在您的 Spring 应用程序属性中设置 “sso.connector.cloud.available=true”

鸣谢

Pivotal SSO Service 团队负责任地报告了此漏洞。

历史

2018-04-30：发布初始漏洞报告