0x00 漏洞概述
CVE ID |
CVE-2022-22969 |
发现时间 |
2022-04-21 |
类 型 |
Dos |
等 级 |
严重 |
远程利用 |
影响范围 |
||
攻击复杂度 |
用户交互 |
||
PoC/EXP |
在野利用 |
0x01 漏洞详情
Spring Security OAuth支持为 Spring Web 应用程序添加 OAuth1(a) 和 OAuth2 功能(消费者和提供者)。
4月21日,VMware发布安全公告,修复了Spring Security Oauth2中的一个拒绝服务漏洞(CVE-2022-22969),官方将该漏洞评级为“严重”。
Spring Security OAuth 在2.5.2之前的2.5.x和不受支持的旧版本中,容易受到通过OAuth 2.0客户端应用程序中的授权请求发起的拒绝服务(DoS)攻击。恶意用户或攻击者可以发送多个请求来启动授权代码授予的授权请求,可能导致使用单个会话耗尽系统资源。
影响范围
Spring Security OAuth 2.5.x < 2.5.2
以及不受支持的旧版本。
0x02 安全建议
目前此漏洞已经修复,受影响用户可以升级更新到Spring Security OAuth 2.5.2或更高版本。
下载链接:
https://github.com/spring-projects/spring-security-oauth/tags
0x03 参考链接
https://tanzu.vmware.com/security/cve-2022-22969
https://spring.io/projects/spring-security-oauth
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22969
0x04 版本信息
版本 |
日期 |
修改内容 |
V1.0 |
2022-04-22 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】Spring Security OAuth2拒绝服务漏洞(CVE-2022-22969)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论