Michal Vavřík

Nome do software vulnerável e versões afetadas: Quarkus (versões afetadas não especificadas) Descrição: O problema está relacionado a uma falha na implementação do RESTEasy Reactive, na qual as verificações de segurança para alguns pontos de extremidade JAX-RS são realizadas após a serialização, levando a um aumento no consumo de recursos. Um invasor com conhecimento de caminhos de solicitação específicos pode potencialmente identificar endpoints vulneráveis e provocar o uso excessivo de recursos, resultando em uma negação de serviço. O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Quarkus anteriores à 3.6.9 Versões do Quarkus anteriores à 3.7.1 Versões do Quarkus anteriores à 3.8.x **Descrição** Foi identificada uma falha no Quarkus. Quando um endpoint Quarkus RestEasy Classic ou Reactive JAX-RS tem seus métodos declarados na classe Java abstrata ou personalizados por extensões do Quarkus usando o processador de anotações, a autorização desses métodos não será aplicada se estiver habilitada pelas propriedades `quarkus.security.jaxrs.deny-unannotated-endpoints` ou `quarkus.security.jaxrs.default-roles-allowed`. **Recomendações** Para versões do Quarkus anteriores à 3.6.9, atualize para a versão 3.6.9 ou posterior. Para versões do Quarkus anteriores à 3.7.1, atualize para a versão 3.7.1 ou posterior. Para versões do Quarkus anteriores à 3.8.x, atualize para o ramo LTS 3.8.x. Como solução alternativa temporária, considere desativar as propriedades `quarkus.security.jaxrs.deny-unannotated-endpoints` e `quarkus.security.jaxrs.default-roles-allowed` até que um patch esteja disponível. Restrinja o acesso aos endpoints Quarkus RestEasy Classic ou Reactive JAX-RS para minimizar o risco de exploração.