棱镜七彩安全预警
近日网上有关于开源项目spring-security-oauth2-client 权限提升漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。
项目主页
代码托管地址
https://github.com/spring-projects/spring-security
CVE编号
漏洞情况
Spring Security 是基于 Spring 的一个提供身份验证、授权和防止常见攻击的框架。
Spring Security 的受影响版本中存在权限提升漏洞,攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空作用域列表的 ’OAuth2 Access Token Response‘ 响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。
受影响的版本
org.springframework.security:spring-security-oauth2-client@[5.6, 5.6.9)
org.springframework.security:spring-security-oauth2-client@[5.7, 5.7.5)
修复方案
升级org.springframework.security:spring-security-oauth2-client到 5.6.9 或 5.7.5 或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-31690
https://github.com/spring-projects/spring-security/commit/75004587a419a96d18909030b20c6b16b226ecbe
CVE-2022-31690: Privilege Escalation in spring-security-oauth2-client