領先一步
VMware 提供培訓和認證,以加速您的進展。
瞭解更多Spring Security 安全公告
CVE-2024-22258:Spring Authorization Server 中的 PKCE 降級
描述
Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 以及較舊的不支援版本容易受到機密用戶端的 PKCE 降級攻擊。
具體來說,當機密用戶端使用 PKCE 進行授權碼授予時,應用程式容易受到攻擊。
當公開用戶端使用 PKCE 進行授權碼授予時,應用程式不會受到攻擊。
受影響的 Spring 產品和版本
Spring Authorization Server
- 1.0.0 - 1.0.5
- 1.1.0 - 1.1.5
- 1.2.0 - 1.2.2
- 較舊的不支援版本也會受到影響
緩解措施
受影響版本的用戶應升級到對應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.6 | 僅企業支援 |
| 1.1.x | 1.1.6 | OSS |
| 1.2.x | 1.2.3 | OSS |
鳴謝
此問題由 Pieter Philippaerts 發現並負責地報告([email protected])。
參考資料
報告漏洞
若要報告 Spring 產品組合中專案的安全漏洞,請參閱安全政策