Matej Nedic

**Nome do Software Vulnerável e Versões Afetadas** Spring Cloud AWS versões 3.0.0 até 4.0.1 **Descrição** Aplicações que utilizam o suporte de endpoint HTTP/HTTPS do Spring Cloud AWS SNS através de `@NotificationMessageMapping`, `@NotificationSubscriptionMapping` ou `@NotificationUnsubscribeConfirmationMapping` não verificam a assinatura de mensagens SNS recebidas. Um invasor não autenticado que conheça a URL do endpoint pode enviar requisições HTTP POST manipuladas simulando mensagens de Notificação ou Confirmação de Assinatura do SNS. Isso permite que o invasor force a aplicação a processar cargas úteis arbitrárias como notificações legítimas ou a confirmar automaticamente assinaturas e cancelar a assinatura de tópicos controlados pelo invasor. **Recomendações** Versões 3.0.0 até 4.0.1: Atualizar para a versão 4.0.2. Versões 3.0.0 até 3.4.2: Verificar manualmente a assinatura da mensagem SNS em um filtro de servlet ou Spring HandlerInterceptor utilizando `SnsMessageManager` antes que a requisição chegue ao controlador.