描述

低于 2.5.2 版本的 Spring Security OAuth 2.5.x 版本以及更旧的、不受支持的版本容易受到拒绝服务 (DoS) 攻击，攻击方式是通过在 OAuth 2.0 客户端应用程序中发起授权请求。恶意用户或攻击者可以发送多个请求来发起授权码授权的授权请求，这有可能在一个会话中耗尽系统资源。此漏洞仅影响 OAuth 2.0 客户端应用程序。

受影响的 Spring 产品和版本

• Spring Security OAuth
  • 低于 2.5.2 版本的 2.5.x 版本
  • 旧的、不受支持的版本

缓解措施

受影响版本的使用者应升级到以下版本：

• Spring Security OAuth
  • 2.5.2+

致谢

此问题由 Macchinetta/TERASOLUNA 框架开发团队发现并负责任地报告。

参考文献

• https://springframework.org.cn/blog/2022/04/21/cve-report-published-for-spring-security-oauth

历史记录

• 2022-04-21：发布初始漏洞报告。