描述

Spring Security 5.5.x（低于 5.5.1）、5.4.x（低于 5.4.7）、5.3.x（低于 5.3.10）和 5.2.x（低于 5.2.11）版本容易受到拒绝服务 (DoS) 攻击，攻击方式是通过在 OAuth 2.0 客户端 Web 和 WebFlux 应用程序中发起授权请求。恶意用户或攻击者可以发送多个请求来发起授权代码授予的授权请求，这有可能使用单个会话或多个会话耗尽系统资源。此漏洞会影响使用 HttpSessionOAuth2AuthorizationRequestRepository（Servlet）和 WebSessionOAuth2ServerAuthorizationRequestRepository（Reactive）的 OAuth 2.0 客户端应用程序。

受影响的 Spring 产品和版本

• Spring Security
  • 5.5.x（低于 5.5.1）
  • 5.4.x（低于 5.4.7）
  • 5.3.x（低于 5.3.10）
  • 5.2.x（低于 5.2.11）

缓解措施

受影响版本的使用者应升级到以下版本

• Spring Security
  • 5.5.1
  • 5.4.7
  • 5.3.10
  • 5.2.11

鸣谢

此问题由 Craig Andrews (github.com/candrews) 识别并负责任地报告。

参考

• https://docs.springframework.org.cn/spring-security/site/docs/current/reference/html5/#storing-the-authorization-request

历史记录

• 2021-06-28：发布初始漏洞报告。