漏洞描述
近日,开源网安监测到VMware官方发布了Spring Security OAuth2的风险通告,漏洞编号为CVE-2022-22969。
Spring Security OAuth 在2.5.2之前的2.5.x和不受支持的旧版本中,容易受到通过OAuth 2.0客户端应用程序中的授权请求发起的拒绝服务(DoS)攻击。恶意用户或攻击者可以发送多个请求来启动授权代码授予的授权请求,可能导致使用单个会话耗尽系统资源。
漏洞基本信息
漏洞 名称 |
Spring Security OAuth2 拒绝服务漏洞 |
漏洞 等级 |
严重 |
CVE 编号 |
CVE-2022-22969 |
影响 版本 |
Spring Security OAuth 2.5.x < 2.5.2 |
安全 版本 |
Spring Security OAuth 2.5.2版本以上 |
纰漏 时间 |
2022-04-21 |
修复方式
VMware发布安全公告,修复了Spring Security Oauth2中的一个拒绝服务漏洞(CVE-2022-22969),受影响用户可以升级更新到Spring Security OAuth 2.5.2或更高版本。
下载链接:
https://github.com/spring-projects/spring-security-oauth/tags
参考链接:
https://tanzu.vmware.com/security/cve-2022-22969
https://spring.io/projects/spring-security-oauth
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22969
往期推荐
捍卫中国软件安全,开源网安势在必行
践行工匠精神, 捍卫国产软件安全
如何应对“软件安全”卡脖子问题
