PT-2021-14846 · Spring · Spring Data Rest
Brian Schrader
·
Publicado
2021-10-28
·
Atualizado
2022-05-24
·
CVE-2021-22047
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.4.0 a 3.4.13 do Spring Data REST
Versões 3.5.0 a 3.5.5 do Spring Data REST
Versões mais antigas e sem suporte do Spring Data REST
Descrição
A vulnerabilidade afeta recursos HTTP implementados por controladores personalizados que utilizam um caminho de API base configurado e um mapeamento de solicitação no nível do tipo de controlador. Esses recursos são expostos sob URIs adicionais, que podem ser acessadas sem autorização, dependendo da configuração do Spring Security.
Recomendações
Para as versões 3.4.0 a 3.4.13 do Spring Data REST, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 3.5.0 a 3.5.5 do Spring Data REST, atualize para uma versão fora desse intervalo para mitigar o risco.
Para versões antigas e sem suporte do Spring Data REST, considere atualizar para uma versão com suporte para resolver o problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Data Rest