描述

Spring Security OAuth 2.5.x 版 (2.5.2 之前) 和較舊的不支援版本容易受到阻斷服務 (DoS) 攻擊，攻擊方式是啟動 OAuth 2.0 Client 應用程式中的授權請求。惡意使用者或攻擊者可以傳送多個請求，啟動授權碼授權的授權請求，這可能會耗盡使用單一工作階段的系統資源。此漏洞僅暴露 OAuth 2.0 Client 應用程式。

受影響的 Spring 產品和版本

• Spring Security OAuth
  • 2.5.x 版 (2.5.2 之前)
  • 較舊的不支援版本

緩解措施

受影響版本的用戶應升級至下列版本

• Spring Security OAuth
  • 2.5.2+

致謝

此問題由 Macchinetta/TERASOLUNA Framework Development Team 識別並負責回報。

參考資料

• https://spring.dev.org.tw/blog/2022/04/21/cve-report-published-for-spring-security-oauth

歷程記錄

• 2022-04-21：發布初始漏洞報告。