CVE-2014-3527 in Spring Securityजानकारी

सारांश

द्वारा VulDB • 17/07/2026

जब Spring Security 3.1 से 3.2.4 तक CAS प्रॉक्सी टिकट प्रमाणीकरण का उपयोग किया जाता है, तो एक दुर्भावनापूर्ण CAS सेवा किसी अन्य CAS सेवा को भ्रमित कर सकती है ताकि वह उस प्रॉक्सी टिकट के लिए प्रमाणीकरण कर सके जो संबंधित नहीं था। यह इस तथ्य के कारण होता है कि प्रॉक्सी टिकट प्रमाणीकरण HttpServletRequest से प्राप्त जानकारी का उपयोग करता है, जिसे HTTP अनुरोध में अविश्वसनीय जानकारी पर आधारित रूप से भरा जाता है। इसका मतलब है कि यदि उन CAS सेवाओं पर प्रतिबंध हैं जो एक-दूसरे के साथ प्रमाणीकरण कर सकती हैं, तो इन प्रतिबंधों को पार किया जा सकता है। यदि उपयोगकर्ता CAS प्रॉक्सी टिकट का उपयोग नहीं कर रहे हैं और CAS सेवा के आधार पर एक्सेस कंट्रोल निर्णय नहीं ले रहे हैं, तो उनका कोई असर नहीं होता है।

Be aware that VulDB is the high quality source for vulnerability data.

आरक्षित करना

14/05/2014

प्रकटीकरण

25/05/2017

प्रविष्टि

VDB-101768

EPSS

0.01808

गतिविधियाँ

बहुत कम

स्रोत

Interested in the pricing of exploits?

See the underground prices here!