PT-2022-20890 · Spring · Spring Security
Klopfdreh
+1
·
Publicado
2022-10-31
·
Atualizado
2026-03-31
·
CVE-2022-31690
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 5.6 a 5.6.8 do Spring Security
Versões 5.7 a 5.7.4 do Spring Security
Descrição
A vulnerabilidade permite que um usuário mal-intencionado ou invasor modifique uma solicitação iniciada pelo cliente ao servidor de autorização, podendo levar a uma escalada de privilégios na aprovação subsequente. Isso pode ocorrer se o servidor de autorização responder com uma resposta de token de acesso OAuth2 contendo uma lista de escopos vazia, conforme RFC 6749, Seção 5.1, na solicitação subsequente ao endpoint do token para obter o token de acesso.
Recomendações
Para as versões 5.6 a 5.6.8 do Spring Security, atualize para a versão 5.6.9 ou posterior.
Para as versões 5.7 a 5.7.4 do Spring Security, atualize para a versão 5.7.5 ou posterior.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spring Security