PT-2021-14854 · Spring · Spring Security
Publicado
2021-02-24
·
Atualizado
2021-02-24
·
CVE-2021-221122
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões 5.4.x do Spring Security anteriores à 5.4.4
Versões 5.3.x do Spring Security anteriores à 5.3.8.RELEASE
Versões 5.2.x do Spring Security anteriores à 5.2.9.RELEASE
Versões mais antigas e sem suporte do Spring Security
Descrição
O problema ocorre quando o SecurityContext é alterado mais de uma vez em uma única solicitação, o que pode levar à falha no salvamento do SecurityContext. Isso pode ser explorado por um invasor para estender privilégios elevados ao restante da aplicação, caso a intenção da aplicação seja permitir que o usuário execute com privilégios elevados apenas em uma pequena parte da aplicação.
Recomendações
Para versões do Spring Security 5.4.x anteriores à 5.4.4, atualize para a versão 5.4.4 ou posterior.
Para versões do Spring Security 5.3.x anteriores à 5.3.8.RELEASE, atualize para a versão 5.3.8.RELEASE ou posterior.
Para versões do Spring Security 5.2.x anteriores à 5.2.9.RELEASE, atualize para a versão 5.2.9.RELEASE ou posterior.
Para versões mais antigas do Spring Security que não são mais suportadas, considere atualizar para uma versão suportada.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Security