漏洞标题
N/A
漏洞描述信息
在OpenID Connect服务器实现中,从1.3.3版本的MITREid Connect中包含一个大规模分配(也称为自动绑定)漏洞。这源于在OAuth授权流程中不安全地使用@ModelAttribute注解,其中HTTP请求参数会影响授权请求。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
org/mitre/oauth2/web/OAuthConfirmationController.java in the OpenID Connect server implementation for MITREid Connect through 1.3.3 contains a Mass Assignment (aka Autobinding) vulnerability. This arises due to unsafe usage of the @ModelAttribute annotation during the OAuth authorization flow, in which HTTP request parameters affect an authorizationRequest.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MITREid Connect 安全漏洞
漏洞描述信息
Michael Stepankin OpenID-Connect-Java-Spring-Server是GlobalMichael Stepankin开源的一个应用系统提供OpenID Connect身份提供程序以及通用OAuth 2.0授权服务器 MITREid Connect through 1.3.3 存在安全漏洞,该漏洞源于在OAuth授权流期间不安全地使用@ModelAttribute注释导致的,其中HTTP请求参数会影响authorizationRequest。
CVSS信息
N/A
漏洞类别
其他