描述

Spring Security OAuth 2.3 版本（低于 2.3.4）、2.2 版本（低于 2.2.3）、2.1 版本（低于 2.1.3）、2.0 版本（低于 2.0.16）以及更旧的不再受支持的版本在某些情况下可能容易受到权限提升攻击。恶意用户或攻击者可以向批准端点发送请求，修改之前保存的授权请求，并在后续批准时导致权限提升。如果应用程序配置为使用自定义批准端点，且该端点将 AuthorizationRequest 声明为控制器方法参数，则可能会发生这种情况。

此漏洞会影响满足以下所有条件的应用程序

• 充当授权服务器的角色（例如 @EnableAuthorizationServer）
• 使用自定义批准端点，且该端点将 AuthorizationRequest 声明为控制器方法参数

此漏洞不会影响以下应用程序

• 充当授权服务器的角色并使用默认批准端点
• 仅充当资源服务器的角色（例如 @EnableResourceServer）
• 仅充当客户端的角色（例如 @EnableOAuthClient）

受影响的Spring产品和版本

• Spring Security OAuth 2.3 至 2.3.3
• Spring Security OAuth 2.2 至 2.2.2
• Spring Security OAuth 2.1 至 2.1.2
• Spring Security OAuth 2.0 至 2.0.15
• 较旧的不再受支持的版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 2.3.x 用户应升级到 2.3.4
• 2.2.x 用户应升级到 2.2.3
• 2.1.x 用户应升级到 2.1.3
• 2.0.x 用户应升级到 2.0.16
• 旧版本应升级到受支持的分支

无需其他缓解措施。

致谢

此问题由来自 Micro Focus 的 Alvaro Muñoz（@pwntester）发现并负责任地报告。

参考

• Spring Security OAuth http://projects.spring.io/spring-security-oauth/docs/oauth2.html"><code>文档</code></a>；请参阅“授权服务器配置”部分。
• https://github.com/spring-projects/spring-security-oauth/blob/master/tests/annotation/approval/src/main/java/demo/Application.java#L36"><code>@EnableAuthorizationServer</code></a> 的示例配置

历史

2018-10-16：发布初始漏洞报告。