发布日期：2018-05-09
更新日期：2018-05-14

受影响系统：

SpringSource Security OAuth 2.3－2.3.2
SpringSource Security OAuth 2.2－2.2.1
SpringSource Security OAuth 2.1－2.1.1
SpringSource Security OAuth 2.0－2.0.14

描述：

---

CVE(CAN) ID: CVE-2018-1260

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Security OAuth部分版本包含一个远程代码执行漏洞。 当资源所有者被转发到认证端点时，攻击者可以向授权端点发出一个特制的授权请求，从而导致远程执行代码。此漏洞影响满足以下所有要求的应用程序：扮演授权服务器的角色（例如@EnableAuthorizationServer），使用默认的Approval端点

<*来源：vendor
  *>

建议：

---

厂商补丁：

SpringSource
------------
升级至以下安全版本：

3.x用户应升级至2.3.3
2.x用户应升级至2.2.2
1.x用户应升级至2.1.2
0.x用户应升级至2.0.15
不再受支持的版本应升级至各自对应的安全版本
参考链接：

https://pivotal.io/security/cve-2018-1260

浏览次数：1864
严重程度：0（网友投票）