2022年4月21日,Spring发布安全公告,修复了一个Spring Security OAuth中的拒绝服务漏洞。漏洞编号:CVE-2022-22969
漏洞威胁等级:严重。
Spring Security OAuth拒绝服务漏洞
Spring Security OAuth拒绝服务漏洞 | |
漏洞编号 |
CVE-2022-22969 |
漏洞类型 |
拒绝服务 |
漏洞等级 |
严重 |
公开状态 |
未知 |
在野利用 |
未知 |
漏洞描述 |
受影响的Spring Security OAuth容易通过在OAuth 2.0 客户端应用程序中启动授权请求而受到拒绝服务 (DoS) 攻击。恶意用户或攻击者可以发送多个请求来启动授权代码授予的授权请求,这有可能使用单个会话耗尽系统资源。此漏洞仅暴露 OAuth 2.0 客户端应用程序。 |
0x03
漏洞等级
严重
0x04
影响版本
Spring Security OAuth
- 2.5.2 之前的 2.5.x
0x05
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
2.5.2+
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。