描述

Spring Security 的版本 5.7（早於 5.7.5）和 5.6（早於 5.6.9），以及更舊的不支援版本，在特定情況下可能容易受到權限提升的影響。惡意使用者或攻擊者可以修改客戶端（透過瀏覽器）啟動的對授權伺服器的請求，這可能導致後續核准中的權限提升。如果授權伺服器在後續對權杖端點的請求中，回應包含空白範圍列表的 OAuth2 存取權杖回應（根據 RFC 6749 第 5.1 節）以取得存取權杖，則可能發生這種情況。

此漏洞會暴露符合以下所有要求的應用程式：

• 扮演登入用戶端的角色 (例如 http.oauth2Login())
• 在用戶端應用程式中使用一或多個授權規則，這些規則的授權來自已授權的範圍 (例如 anyRequest().hasAuthority("SCOPE_message.write"))
• 註冊一個回應空白範圍列表的授權伺服器 (根據 RFC 6749 第 5.1 節)

此漏洞不會暴露以下應用程式：

• 僅扮演資源伺服器的角色 (例如 http.oauth2ResourceServer())
• 在用戶端應用程式中使用授權規則，這些規則的授權並非來自已授權的範圍 (例如 anyRequest().hasAuthority("ROLE_USER"))

受影響的 Spring 產品和版本

• Spring Security
  • 5.7 至 5.7.4
  • 5.6 至 5.6.8
  • 較舊且不受支援的版本也會受到影響

緩解措施

受影響版本的用戶應採取以下緩解措施：Spring Security 5.7 至 5.7.5，Spring Security 5.6 至 5.6.9。 舊版本應升級至受支援的分支。 不需要其他緩解步驟。 已修復此問題的版本包括

• Spring Security
  • 5.7.5
  • 5.6.9

致謝

此問題由 Apache Software Foundation 的 Tobias Soloschenko (@klopfdreh) 發現並負責地回報。

參考資料

• https://spring-docs.dev.org.tw/spring-security/reference/servlet/oauth2/login/index.html
• https://spring-docs.dev.org.tw/spring-security/reference/reactive/oauth2/login/index.html
• https://github.com/spring-projects/spring-security-samples/blob/4638e1e428ee2ddab234199eb3b67b9c94dfa08b/servlet/spring-boot/java/oauth2/webclient/src/main/java/example/SecurityConfiguration.java#L48
• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C/CR:M/IR:M/AR:X/MAV:N/MAC:L/MPR:L/MUI:N/MS:U/MC:H/MI:H/MA:N&version=3.1

歷史紀錄

• 2022-10-31：發布初始漏洞報告。