CVE-2014-3527 in Spring Securityالمعلومات

الملخص

بحسب VulDB • 09/07/2026

عند استخدام مصادقة تذاكر الوكيل (CAS Proxy ticket) من Spring Security الإصدارات 3.1 إلى 3.2.4، يمكن لخدمة CAS خبيثة أن تخدع خدمة أخرى لتقوم بمصادقة تذكرة وكيل غير مرتبطة بها. ويعود ذلك إلى حقيقة أن مصادقة تذكرة الوكيل تستخدم المعلومات الواردة من HttpServletRequest التي يتم تعبئتها بناءً على معلومات غير موثوقة ضمن طلب HTTP. وهذا يعني أنه إذا كانت هناك قيود تحكم في الوصول تحدد خدمات CAS المسموح لها بالمصادقة المتبادلة، يمكن تجاوز هذه القيود. وإذا لم يكن المستخدمون يستخدمون تذاكر وكيل CAS ولا يعتمدون قرارات التحكم في الوصول على خدمة CAS، فلا يوجد تأثير على المستخدمين.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

حجز

14/05/2014

إفشاء

25/05/2017

الاعتدال

تمت الموافقة

إدخال

VDB-101768

EPSS

0.01808

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!