В инфраструктуре современных веб-приложений серверы авторизации OAuth играют роль центрального пропускного пункта, управляющего доступом пользователей к различным сервисам. Именно поэтому обнаружение критической уязвимости в одном из популярных решений - Spring Security Authorization Server - вызывает серьезную озабоченность у специалистов по информационной безопасности. Обнаруженная проблема, зарегистрированная под идентификатором CVE-2026-22752, позволяет злоумышленнику подчинить себе этот самый "пропускной пункт", что потенциально ведет к полному компрометированию всех связанных с ним систем и учетных записей.
Уязвимость CVE-2026-22752
Инцидент был официально раскрыт командой разработчиков Spring Security 21 апреля 2026 года, однако его корни уходят в механизм динамической регистрации клиентов. Этот функционал, который необходимо явно активировать в настройках, позволяет приложениям автоматически регистрироваться в сервере авторизации, получая необходимые учетные данные. Оказалось, что в уязвимых версиях проверка метаданных, передаваемых новым клиентом при такой регистрации, проводится недостаточно строго. В результате атакующий, обладающий лишь стандартным токеном начального доступа, может зарегистрировать вредоносного OAuth-клиента со специально сформированными данными.
Эксплуатация этой уязвимости открывает сразу несколько путей для атаки, делая её особенно опасной. Во-первых, внедрение скриптов в метаданные может привести к атаке типа Stored XSS, когда вредоносный код постоянно сохраняется на сервере и выполняется в браузерах других пользователей или администраторов. Во-вторых, умелое манипулирование параметрами клиента способно привести к повышению привилегий внутри системы, предоставив атакующему права, выходящие за рамки первоначально выданных. В-третьих, наиболее коварным последствием является возможность организации атаки Server-Side Request Forgery, при которой сервер авторизации можно заставить выполнять несанкционированные запросы к внутренним, недоступным извне системам организации. Таким образом, одна ошибка в модуле регистрации клиентов превращается в инструмент для кражи сессий, несанкционированного доступа и разведки внутренней сети.
Оценка серьезности уязвимости по шкале CVSS 3.1 достигает высоких значений. Вектор AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N указывает на то, что для атаки достаточно сетевого доступа и низкого уровня привилегий, а её сложность оценивается как невысокая. При этом последствия затрагивают не только сам сервер авторизации, но и смежные компоненты, а целостность и конфиденциальность данных оказываются под угрозой. Под удар попадают все развертывания, использующие уязвимые версии Spring Security (с 7.0.0 по 7.0.4) и Spring Authorization Server (коммерческие сборки 1.3.x, 1.4.x и открытые 1.5.x), у которых активирована динамическая регистрация клиентов и которые имеют выход в интернет.
Учитывая центральную роль сервера авторизации, последствия его компрометации могут быть катастрофическими. Это не просто утечка данных одного приложения, а кража ключей от всего королевства. Злоумышленник получает возможность для горизонтального перемещения по смежным сервисам, полного захвата учетных записей пользователей и организации массовой утечки конфиденциальной информации. Сочетание возможностей XSS и SSRF в рамках одной уязвимости представляет особую угрозу для облачных и микросервисных сред, где внутренняя сеть часто содержит множество критически важных, но плохо защищенных сервисов, полагающихся на единый механизм аутентификации.
Компания Spring уже выпустила исправленные версии программного обеспечения для всех затронутых веток разработки. Администраторам настоятельно рекомендуется немедленно обновиться до Spring Security 7.0.5 или Spring Authorization Server 1.3.11, 1.4.10, 1.5.7 в зависимости от используемой версии и типа лицензии. Для коммерческих пользователей патчи доступны через Spring Enterprise. Если немедленное применение обновлений невозможно, эксперты рекомендуют рассмотреть временную меру в виде полного отключения конечных точек динамической регистрации клиентов до момента установки заплаток. В любом случае командам безопасности необходимо срочно провести аудит всех развертываний Spring Authorization Server на предмет использования уязвимой функциональности. От оперативности реакции на эту новость напрямую зависит безопасность всей экосистемы приложений, построенной вокруг уязвимого компонента.
