CVE-2014-3527 in Spring Security
요약
\~에 의해 VulDB • 2026. 06. 23.
Spring Security 3.1부터 3.2.4까지의 버전에서 CAS 프록시 티켓 인증을 사용할 때, 악성 CAS 서비스는 관련 없는 프록시 티켓에 대한 인증을 다른 CAS 서비스에 속이려 할 수 있습니다. 이는 프록시 티켓 인증이 HTTP 요청 내 신뢰할 수 없는 정보를 기반으로 채워지는 HttpServletRequest의 정보를 사용하기 때문입니다. 즉, 어떤 CAS 서비스가 서로 간에 인증할 수 있는지에 대한 접근 제어 제한 사항이 있더라도 이를 우회할 수 있습니다. 사용자가 CAS 프록시 티켓을 사용하지 않거나 CAS 서비스를 기준으로 접근 제어를 결정하지 않는다면 사용자에게는 영향이 없습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.