【误差通告】Spring Security OAuth2拒绝服务误差(CVE-2022-22969)

宣布时间 2022-04-21

 

0x00 误差概述

CVE   ID

CVE-2022-22969

发明时间

2022-04-21

类    型

Dos

等    级

严重

远程使用


影响规模


攻击重漂后


用户交互


PoC/EXP


在野使用


 

0x01 误差详情

Spring Security OAuth支持为 Spring Web 应用程序添加 OAuth1(a) 和 OAuth2 功效(消耗者和提供者)。

4月21日,VMware宣布清静通告,修复了Spring Security Oauth2中的一个拒绝服务误差(CVE-2022-22969),官方将该误差评级为“严重”。

Spring Security OAuth 在2.5.2之前的2.5.x和不受支持的旧版本中,容易受到通过OAuth 2.0客户端应用程序中的授权请求提倡的拒绝服务(DoS)攻击。恶意用户或攻击者可以发送多个请求来启动授权代码授予的授权请求,可能导致使用单个会话耗尽系统资源。

 

影响规模

Spring Security OAuth 2.5.x < 2.5.2

以及不受支持的旧版本。

 

0x02 清静建议

现在此误差已经修复,受影响用户可以升级更新到Spring Security OAuth 2.5.2或更高版本。

下载链接:

https://github.com/spring-projects/spring-security-oauth/tags

 

0x03 参考链接

https://tanzu.vmware.com/security/cve-2022-22969

https://spring.io/projects/spring-security-oauth

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22969

 

0x04 版本信息

版本

日期

修改内容

V1.0

2022-04-21

首次宣布

 

0x05 附录

尊龙凯官网入口简介

尊龙凯官网入口公司建设于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是海内极具实力的、拥有完全自主知识产权的网络清静产品、可信清静管理平台、清静服务与解决计划的综合提供商。

公司总部位于北京市中关村软件园,在天下各省、市、自治区设有分支机构,拥有笼罩天下的渠道系统和手艺支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来,尊龙凯官网入口致力于提供具有国际竞争力的自主立异的清静产品和最佳实践服务,资助客户周全提升其IT基础设施的清静性和生产效能,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。


关于尊龙凯官网入口

尊龙凯官网入口清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。

关注以下公众号,获取全球最新清静资讯:

image.png