领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2024-22258:Spring 授权服务器中的 PKCE 降级漏洞
描述
Spring 授权服务器 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 以及更旧的未受支持版本容易受到针对机密客户端的 PKCE 降级攻击。
具体来说,当**机密客户端**使用 PKCE 进行授权码授予时,应用程序容易受到攻击。
当**公开客户端**使用 PKCE 进行授权码授予时,应用程序不会受到攻击。
受影响的 Spring 产品和版本
Spring 授权服务器
- 1.0.0 - 1.0.5
- 1.1.0 - 1.1.5
- 1.2.0 - 1.2.2
- 旧版和不受支持的版本也受到影响
缓解措施
受影响版本的使用者应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.6 | 仅限企业支持 |
| 1.1.x | 1.1.6 | 开源 |
| 1.2.x | 1.2.3 | 开源 |
致谢
此问题由 Pieter Philippaerts ([email protected]) 发现并负责任地报告。
参考
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略