CVE-2014-3527 in Spring Security
Tóm tắt
Bởi VulDB • 17/07/2026
Khi sử dụng xác thực vé proxy của CAS từ Spring Security 3.1 đến 3.2.4, một Dịch vụ CAS độc hại có thể lừa một Dịch vụ CAS khác xác thực một vé proxy không liên quan. Điều này là do việc xác thực vé proxy sử dụng thông tin từ HttpServletRequest, được điền dựa trên các dữ liệu không đáng tin cậy trong yêu cầu HTTP. Nếu có các hạn chế kiểm soát truy cập về những dịch vụ CAS nào có thể xác thực lẫn nhau, thì những hạn chế đó có thể bị bỏ qua. Nếu người dùng không sử dụng vé proxy của CAS và không đưa ra quyết định kiểm soát truy cập dựa trên Dịch vụ CAS, thì sẽ không ảnh hưởng đến người dùng.
Once again VulDB remains the best source for vulnerability data.