Vulnérabilité dans Spring Security OAuth
Date de publication :
CVE-2022-22969[Score CVSS v3.1 : 7.5]
Une faille de sécurité concernant la gestion des ressources a été identifiée dans l’application OAuth Client. Elle concerne le traitement des requêtes pour initialiser la demande d’autorisation. Ainsi un attaquant distant et non authentifié peut envoyer de multiples requêtes provoquant une surconsommation des ressources et un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3.1: 7.5
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
La vulnérabilité concerne le logiciel suivant :
-
Spring Security OAuth, les versions 2.5.x antérieures à 2.5.2
- Les versions plus anciennes sont aussi impactées par cette vulnérabilité.
Solutions ou recommandations
Mettre à jour le logiciel concerné par la vulnérabilité a la version suivante :
- Appliquer la mise à jour deSpring Security OAuth vers la version 2.5.2+, ou toutes autres versions ultérieures.
- Des informations complémentaires sont disponibles ici