Red Hat · Jboss Eap · CVE-2024-1233
**Nome do software vulnerável e versões afetadas**
JBoss EAP (versões afetadas não especificadas)
**Descrição**
Foi identificada uma falha no método `JwtValidator.resolvePublicKey` do JBoss EAP, no qual o validador verifica o jku e envia uma solicitação HTTP. Durante esse processo, não é realizada nenhuma verificação de lista de permissões (whitelist) ou outro tipo de filtragem no endereço URL de destino, o que pode resultar em uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF).
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.