CVE-2014-3527 in Spring Security信息

摘要

由 VulDB • 2026-06-22

在使用 Spring Security 3.1 至 3.2.4 版本的 CAS 代理票证(Proxy Ticket)身份验证时,恶意的 CAS 服务可以欺骗另一个 CAS 服务,使其对未关联的代理票证进行身份验证。这是由于代理票证身份验证使用了来自 HttpServletRequest 的信息,而该信息是根据 HTTP 请求中的不受信任信息填充的。这意味着,如果存在限制哪些 CAS 服务可以相互进行身份验证的访问控制策略,这些策略可能会被绕过。如果用户未使用 CAS 代理票证,且未基于 CAS 服务做出访问控制决策,则对用户没有影响。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Do you know our Splunk app?

Download it now for free!