漏洞预警|spring-security-oauth2-client 权限提升漏洞

最新推荐文章于 2024-06-06 22:02:52 发布
最新推荐文章于 2024-06-06 22:02:52 发布
阅读量358 收藏
点赞数
分类专栏: 漏洞预警 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/127639088
版权

棱镜七彩安全预警

近日网上有关于开源项目spring-security-oauth2-client 权限提升漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。

项目主页

Spring Security

代码托管地址

https://github.com/spring-projects/spring-security

CVE编号

CVE-2022-31692

漏洞情况

Spring Security 是基于 Spring 的一个提供身份验证、授权和防止常见攻击的框架。

Spring Security 的受影响版本中存在权限提升漏洞,攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空作用域列表的 ’OAuth2 Access Token Response‘ 响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。

受影响的版本

org.springframework.security:spring-security-oauth2-client@[5.6, 5.6.9)

org.springframework.security:spring-security-oauth2-client@[5.7, 5.7.5)

修复方案

升级org.springframework.security:spring-security-oauth2-client到 5.6.9 或 5.7.5 或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-31690

https://github.com/spring-projects/spring-security/commit/75004587a419a96d18909030b20c6b16b226ecbe

CVE-2022-31690: Privilege Escalation in spring-security-oauth2-client

 

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1713
OAuth2 Resource Server
spring security oauth2.0 client集成第三方登录
热门推荐
weixin_40693633的博客
01-21 1万+
   大家上网的时候可能会遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。    这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。    其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。 什么是 OAuth 2.0?    ...
Spring-Security(二)OAuth2认证详解(持续更新)
最新发布
lbmydream的博客
06-06 1361
深入了解Spring Oauth2.0 认证流程及自定义扩展
OAuth 2
xbcai1的博客
05-30 436
OAuth 2,授权框架
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
Mr_XiMu的博客
05-31 3229
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
OAuth2.0 Client 总结】对接github第三方登录以及其他第三方登录总结
qq_43430343的博客
04-20 1339
之前搞 oauth 登录一直没有搞好,客户端、授权服务端、资源端一起搞对于我刚接触的小菜鸡来说,难度有点大。然后就先搞了个 Client 端对接 Github 登录。网上关于 Github 登录的资料有很多,而且框架对 Github 集成的也很好,配置起来并不麻烦。
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-boot spring-security-oauth2 完整demo
11-22
Spring Boot、Spring SecurityOAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring SecurityOAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2490
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Security OAuth2客户端凭据授权
new_ord的博客
07-10 1543
在没有明确的资源拥有者,或对于客户端来说资源拥有者不可区分,该怎么办?这是一种相当常见的场景。比如后端系统之间需要直接通信时,将使用客户端凭据授权。
oauth2-client 学习笔记 002
菜鸟阿达
12-07 1571
准备中。。。。请等待
Spring Security5.5发布,正式实装OAuth2.0的第五种授权模式
码农小胖哥
05-19 2143
今天Spring Security 5.5发布了,主要涉及OAuth2.0和SAML2.0两个协议。其中最大的亮点是支持了OAuth2.0的另一种授权模式jwt-bearer。这个模式可能...
spring security OAuth2 实战
swadian2008的博客
09-18 2496
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。OAuth协议:https://tools.ietf.org/html/rfc6749OAuth 基本概念Third-party application:第三方应用程序,又称"客户端"(client),比如京东商城。
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3867
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
Spring Security OAuth Client配置加载源码分析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-12 1563
这一节我们以前面默认的OAuth2 客户端集成为例,来了解下配置文件的加载,示例见第二、第三节。要学习一个新框架,我一般会按照如下步骤来实施:(1)根据官方文档搭建Demo,先跑起来,有一个整体观(2)分析源码,从Demo的功能配置入手,找到突破口(3)每次分析源码,要带着问题看(4)根据源码分析出来的思路,画架构图、流程图(5)学习框架的实现思路,取其精华去其糟粕码农小胖哥的2022版PDF。............
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7282
springsecurity整合oauth2+JWT,数据库配置客户端
spring-security-oauth2spring-cloud-starter-oauth2
06-10
spring-security-oauth2spring-cloud-starter-oauth2都是OAuth 2.0协议的Spring框架的库但它们的使用场景有所不同。 spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于客户端和资源服务器的认证和授权。主要用于在独立的OAuth 2.0服务器上运行的情况下,为客户端和资源服务器提供认证和授权的功能。 而spring-cloud-starter-oauth2是一个Spring Cloud的库,它提供了对OAuth 2.0的支持,可以用于在微服务架构中的各个服务之间进行认证和授权。主要用于在微服务架构中,为各个服务提供认证和授权的功能。 因此,如果你需要在独立的OAuth 2.0服务器上运行,为客户端和资源服务器提供认证和授权的功能,你可以使用spring-security-oauth2。如果你需要在微服务架构中,为各个服务提供认证和授权的功能,你可以使用spring-cloud-starter-oauth2。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值