描述

Spring Security 5.7 版本（低于 5.7.5 版本），5.6 版本（低于 5.6.9 版本）以及其他旧的、不受支持的版本，在特定条件下可能容易受到权限提升攻击。恶意用户或攻击者可以修改客户端（通过浏览器）向授权服务器发起的请求，从而导致后续审批过程中权限提升。如果授权服务器在后续向令牌端点请求访问令牌时，返回的 OAuth2 访问令牌响应包含空作用域列表（根据RFC 6749，第 5.1 节），则可能发生这种情况。

此漏洞会影响满足以下所有条件的应用程序：

• 充当登录客户端的角色（例如，http.oauth2Login()）
• 在客户端应用程序中使用一个或多个授权规则，这些规则将权限从授权作用域映射（例如，anyRequest().hasAuthority("SCOPE_message.write")）
• 注册一个返回空作用域列表的授权服务器（根据 RFC 6749，第 5.1 节）

此漏洞**不会**影响以下应用程序：

• 仅充当资源服务器的角色（例如，http.oauth2ResourceServer()）
• 在客户端应用程序中使用未从授权作用域映射权限的授权规则（例如，anyRequest().hasAuthority("ROLE_USER")）

受影响的 Spring 产品和版本

• Spring Security
  • 5.7 至 5.7.4
  • 5.6 至 5.6.8
  • 较旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施：将 Spring Security 5.7 升级到 5.7.5，将 Spring Security 5.6 升级到 5.6.9。较旧的版本应升级到受支持的分支。无需其他缓解步骤。已修复此问题的版本包括：

• Spring Security
  • 5.7.5
  • 5.6.9

致谢

此问题由 Apache 软件基金会的 Tobias Soloschenko (@klopfdreh) 发现并负责报告。

参考资料

• https://docs.springframework.org.cn/spring-security/reference/servlet/oauth2/login/index.html
• https://docs.springframework.org.cn/spring-security/reference/reactive/oauth2/login/index.html
• https://github.com/spring-projects/spring-security-samples/blob/4638e1e428ee2ddab234199eb3b67b9c94dfa08b/servlet/spring-boot/java/oauth2/webclient/src/main/java/example/SecurityConfiguration.java#L48
• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:M/IR:M/AR:X/MAV:N/MAC:L/MPR:L/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

历史记录

• 2022-10-31：发布初始漏洞报告。