描述

Spring Security OAuth 的 2.3 版 (直至 2.3.3)、2.2 版 (直至 2.2.2)、2.1 版 (直至 2.1.2)、2.0 版 (直至 2.0.15) 和較舊的不支援版本，包含遠端程式碼執行漏洞。惡意使用者或攻擊者可以製作對授權端點的授權請求，當資源擁有者轉發到核准端點時，可能會導致遠端程式碼執行。

此漏洞會暴露符合以下所有要求的應用程式

• 扮演授權伺服器的角色 (例如 @EnableAuthorizationServer)
• 使用預設的核准端點

此漏洞不會暴露以下應用程式

• 扮演授權伺服器的角色，但覆寫預設的核准端點
• 僅扮演資源伺服器的角色 (例如 @EnableResourceServer)
• 僅扮演用戶端的角色 (例如 @EnableOAuthClient)

受影響的 Spring 產品和版本

• Spring Security OAuth 2.3 至 2.3.2
• Spring Security OAuth 2.2 至 2.2.1
• Spring Security OAuth 2.1 至 2.1.1
• Spring Security OAuth 2.0 至 2.0.14
• 較舊的不支援版本也會受到影響

緩解措施

受影響版本的使用者應套用以下緩解措施

• 2.3.x 使用者應升級至 2.3.3
• 2.2.x 使用者應升級至 2.2.2
• 2.1.x 使用者應升級至 2.1.2
• 2.0.x 使用者應升級至 2.0.15
• 較舊的版本應升級至支援的分支

沒有其他必要的緩解步驟。

鳴謝

此問題由 GoSecure 的 Philippe Arteau 識別並負責地報告。

參考

• Spring Security OAuth http://projects.spring.io/spring-security-oauth/docs/oauth2.html'>文件</a>，請參閱「授權伺服器配置」部分
• https://github.com/spring-projects/spring-security-oauth/blob/master/tests/annotation/approval/src/main/java/demo/Application.java#L36'>@EnableAuthorizationServer</a> 的範例配置

歷史

2018-05-09：發布初始漏洞報告