Pieter Philippaerts

**Nome do software vulnerável e versões afetadas** Spring Authorization Server, versões 1.0.0 a 1.0.5 Spring Authorization Server, versões 1.1.0 a 1.1.5 Versões 1.2.0 a 1.2.2 do Spring Authorization Server Versões mais antigas e sem suporte do Spring Authorization Server **Descrição** A vulnerabilidade diz respeito a um ataque de downgrade PKCE para clientes confidenciais. Um aplicativo fica vulnerável quando um cliente confidencial usa PKCE para a concessão do código de autorização. No entanto, um aplicativo não fica vulnerável quando um cliente público usa PKCE para a concessão do código de autorização. **Recomendações** Para as versões 1.0.0 a 1.0.5 do Spring Authorization Server, considere desativar o uso de PKCE para a concessão de código de autorização por clientes confidenciais até que uma correção esteja disponível. Para as versões 1.1.0 a 1.1.5 do Spring Authorization Server, considere desativar o uso de PKCE para a concessão de código de autorização por clientes confidenciais até que uma correção esteja disponível. Para as versões 1.2.0 a 1.2.2 do Spring Authorization Server, considere desativar o uso de PKCE para a concessão de código de autorização por clientes confidenciais até que um patch esteja disponível. Para versões mais antigas e sem suporte do Spring Authorization Server, considere atualizar para uma versão com suporte e, em seguida, desativar o uso de PKCE para a concessão de código de autorização por clientes confidenciais até que um patch esteja disponível.