-
【漏洞通告】CVE-2022-31690 Spring Security Oauth2 Client权限提升漏洞
目录
0x01 漏洞详情
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。10月31日,VMware发布安全公告,修复了Spring Security中的一个权限提升漏洞(CVE-2022-31690),该漏洞的CVSSv3基础评分为8.1。攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空范围列表的‘OAuth2 Access Token Response’响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。
0x02 影响范围
Spring Security 版本 5.7.0 - 5.7.4
Spring Security 版本 5.6.0 - 5.6.8
以及不受支持的旧版本。
0x03 修复建议
目前这些漏洞已经修复,受影响用户可以升级到以下版本:
Spring Security 版本5.7.x 用户:升级到 5.7.5。
Spring Security 版本5.6.x 用户:升级到 5.6.9。
下载链接:
https://github.com/spring-projects/spring-security/tags0x04 参考链接
-
相关阅读:
HTML网页大作业代码【免费代码已上传】
MATLAB 的ICEEMDAN分解代码实现
AutoGluon学习笔记
基于ARM+FPGA的ISA总线/MMи总线接口转换设计在轨道交通的应用
PTE SST和RL模板
【无标题】
Flink被阿里收购4年,最开心的却是Spark背后的Databricks
图像处理第二章笔记
Webserver项目解析
MySQL存储过程手册,及创建存储过程:循环为所有表添加字段
- 原文地址:https://blog.csdn.net/qq_44281295/article/details/127652304
https://mp.weixin.qq.com/s?__biz=MzUxMDQzNTMyNg==&mid=2247501287&idx=2&sn=d945154201ab0bf909eca115bc119aeb&chksm=f9018f76ce760660b0b323533f45c1523dfdc6f2d5e8ecc1969eccf2b50aef585c971e91fb83&scene=178&cur_album_id=1907628428967641089#rd