Tkswifty

Nome do software vulnerável e versões afetadas: Spring WebFlux (versões afetadas não especificadas) Descrição: O problema é causado por falhas no procedimento de autorização dos frameworks web funcionais WebMvc.fn e WebFlux.fn do Spring Framework. Isso pode permitir que um invasor remoto comprometa a confidencialidade, a integridade e a disponibilidade de informações protegidas. Para que um aplicativo seja afetado, ele deve ser um aplicativo WebFlux, utilizar o suporte a recursos estáticos do Spring e ter uma regra de autorização diferente de permitAll aplicada ao suporte a recursos estáticos. Uma exploração para este problema já foi divulgada e está sendo ativamente utilizada. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Spring WebFlux versions (affected versions not specified) **Description** Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching between Spring Security and Spring WebFlux, and the potential for a security bypass. The issue may allow a remote attacker to bypass existing security restrictions. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Apache Shiro versions prior to 1.12.0 or 2.0.0-alpha-3 **Description** The issue is related to a path traversal attack that can result in an authentication bypass when Apache Shiro is used together with APIs or other web frameworks that route requests based on non-normalized requests. This can allow a remote attacker to bypass security restrictions by sending specially crafted requests. **Recommendations** Update to Apache Shiro 1.12.0+ or 2.0.0-alpha-3+ to resolve the issue.