领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-22258:Spring Authorization Server 中的 PKCE 降级漏洞
描述
Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 和更旧的不受支持版本容易受到机密客户端的 PKCE 降级攻击。
具体来说,当**机密客户端**使用 PKCE 进行授权码许可时,应用程序容易受到攻击。
当**公共客户端**使用 PKCE 进行授权码许可时,应用程序不易受到攻击。
受影响的 Spring 产品和版本
Spring Authorization Server
- 1.0.0 - 1.0.5
- 1.1.0 - 1.1.5
- 1.2.0 - 1.2.2
- 旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.6 | 仅提供企业支持 |
| 1.1.x | 1.1.6 | OSS |
| 1.2.x | 1.2.3 | OSS |
鸣谢
此问题由 Pieter Philippaerts 发现并负责任地报告 ([email protected])。
参考
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略