CVE-2014-3527 in Spring Security정보

요약

\~에 의해 VulDB • 2026. 06. 23.

Spring Security 3.1부터 3.2.4까지의 버전에서 CAS 프록시 티켓 인증을 사용할 때, 악성 CAS 서비스는 관련 없는 프록시 티켓에 대한 인증을 다른 CAS 서비스에 속이려 할 수 있습니다. 이는 프록시 티켓 인증이 HTTP 요청 내 신뢰할 수 없는 정보를 기반으로 채워지는 HttpServletRequest의 정보를 사용하기 때문입니다. 즉, 어떤 CAS 서비스가 서로 간에 인증할 수 있는지에 대한 접근 제어 제한 사항이 있더라도 이를 우회할 수 있습니다. 사용자가 CAS 프록시 티켓을 사용하지 않거나 CAS 서비스를 기준으로 접근 제어를 결정하지 않는다면 사용자에게는 영향이 없습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

예약하다

2014. 05. 14.

모더레이션

수락

항목

VDB-101768

EPSS

0.01808

출처

Do you know our Splunk app?

Download it now for free!