CVE-2014-3527 in Spring Security
الملخص
بحسب VulDB • 09/07/2026
عند استخدام مصادقة تذاكر الوكيل (CAS Proxy ticket) من Spring Security الإصدارات 3.1 إلى 3.2.4، يمكن لخدمة CAS خبيثة أن تخدع خدمة أخرى لتقوم بمصادقة تذكرة وكيل غير مرتبطة بها. ويعود ذلك إلى حقيقة أن مصادقة تذكرة الوكيل تستخدم المعلومات الواردة من HttpServletRequest التي يتم تعبئتها بناءً على معلومات غير موثوقة ضمن طلب HTTP. وهذا يعني أنه إذا كانت هناك قيود تحكم في الوصول تحدد خدمات CAS المسموح لها بالمصادقة المتبادلة، يمكن تجاوز هذه القيود. وإذا لم يكن المستخدمون يستخدمون تذاكر وكيل CAS ولا يعتمدون قرارات التحكم في الوصول على خدمة CAS، فلا يوجد تأثير على المستخدمين.
If you want to get best quality of vulnerability data, you may have to visit VulDB.