描述

Spring Security 5.5.x 版本低于 5.5.1，5.4.x 版本低于 5.4.7，5.3.x 版本低于 5.3.10 以及 5.2.x 版本低于 5.2.11 容易受到拒绝服务 (DoS) 攻击，攻击通过在 OAuth 2.0 客户端 Web 和 WebFlux 应用中发起授权请求来实现。恶意用户或攻击者可以发送多个请求来启动授权码授权的授权请求，这可能会通过单个会话或多个会话耗尽系统资源。此漏洞会暴露使用 HttpSessionOAuth2AuthorizationRequestRepository (Servlet) 和 WebSessionOAuth2ServerAuthorizationRequestRepository (Reactive) 的 OAuth 2.0 客户端应用程序。

受影响的 Spring 产品和版本

• Spring Security
  • 5.5.x 版本低于 5.5.1
  • 5.4.x 版本低于 5.4.7
  • 5.3.x 版本低于 5.3.10
  • 5.2.x 版本低于 5.2.11

缓解措施

受影响版本的用户应升级到以下版本

• Spring Security
  • 5.5.1
  • 5.4.7
  • 5.3.10
  • 5.2.11

鸣谢

此问题由 Craig Andrews (github.com/candrews) 发现并负责任地报告。

参考

• https://docs.springframework.org.cn/spring-security/site/docs/current/reference/html5/#storing-the-authorization-request

历史

• 2021-06-28：发布了初始漏洞报告。