描述

Spring Security OAuth 2.5.x 版本（2.5.2 之前的版本）和较旧的不受支持的版本容易受到拒绝服务 (DoS) 攻击，攻击通过在 OAuth 2.0 客户端应用程序中启动授权请求进行。恶意用户或攻击者可以发送多个请求，启动授权码授权的授权请求，这有可能使用单个会话耗尽系统资源。此漏洞仅暴露 OAuth 2.0 客户端应用程序。

受影响的 Spring 产品和版本

• Spring Security OAuth
  • 2.5.x 版本（2.5.2 之前的版本）
  • 较旧的，不受支持的版本

缓解措施

受影响版本的用户应升级到以下版本

• Spring Security OAuth
  • 2.5.2+

致谢

此问题由 Macchinetta/TERASOLUNA Framework Development Team 识别并负责任地报告。

参考

• https://springframework.org.cn/blog/2022/04/21/cve-report-published-for-spring-security-oauth

历史

• 2022-04-21：发布初始漏洞报告。