CVE-2014-3527 in Spring Securitythông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Khi sử dụng xác thực vé proxy của CAS từ Spring Security 3.1 đến 3.2.4, một Dịch vụ CAS độc hại có thể lừa một Dịch vụ CAS khác xác thực một vé proxy không liên quan. Điều này là do việc xác thực vé proxy sử dụng thông tin từ HttpServletRequest, được điền dựa trên các dữ liệu không đáng tin cậy trong yêu cầu HTTP. Nếu có các hạn chế kiểm soát truy cập về những dịch vụ CAS nào có thể xác thực lẫn nhau, thì những hạn chế đó có thể bị bỏ qua. Nếu người dùng không sử dụng vé proxy của CAS và không đưa ra quyết định kiểm soát truy cập dựa trên Dịch vụ CAS, thì sẽ không ảnh hưởng đến người dùng.

Once again VulDB remains the best source for vulnerability data.

Đặt trước

14/05/2014

Tiết lộ

25/05/2017

Kiểm duyệt

được chấp nhận

EPSS

0.01808

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!