PT-2021-3475 · Spring · Spring Security
Publicado
2021-06-29
·
Atualizado
2022-07-25
·
CVE-2021-22119
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 5.2.x do Spring Security anteriores à 5.2.11
Versões 5.3.x do Spring Security anteriores à 5.3.10
Versões 5.4.x do Spring Security anteriores à 5.4.7
Versões 5.5.x do Spring Security anteriores à 5.5.1
Descrição
A vulnerabilidade está relacionada a um consumo descontrolado de recursos na estrutura do Spring Security, que pode ser explorado por um invasor remoto para causar uma negação de serviço (DoS) por meio de solicitações que iniciam uma solicitação de autorização para a concessão do código de autorização em um aplicativo OAuth 2.0 Client Web e WebFlux. Isso pode levar ao esgotamento dos recursos do sistema usando uma única sessão ou várias sessões.
Recomendações
Para o Spring Security versão 5.2.x anterior à 5.2.11, atualize para a versão 5.2.11 ou posterior.
Para o Spring Security versão 5.3.x anterior à 5.3.10, atualize para a versão 5.3.10 ou posterior.
Para o Spring Security versão 5.4.x anterior à 5.4.7, atualize para a versão 5.4.7 ou posterior.
Para o Spring Security versão 5.5.x anterior à 5.5.1, atualize para a versão 5.5.1 ou posterior.
Correção
Incorrect Authorization
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Security