CVE-2022-31023

Versões do Play Framework anteriores à 2.8.16

O problema diz respeito à geração de mensagens de erro contendo informações confidenciais no Play Framework. Quando executado no modo de desenvolvimento, o Play Framework exibe erros detalhados para facilitar a depuração, incluindo um rastreamento da pilha de exceções. Esse comportamento é configurado pelo DefaultHttpErrorHandler com base no modo da aplicação. No entanto, o objeto estático DefaultHttpErrorHandler está configurado para sempre exibir erros detalhados, o que pode ser inadvertidamente utilizado em produção ou configurado incorretamente como o manipulador de erros injetado. Isso pode resultar na exibição de erros detalhados aos usuários em uma aplicação de produção, expondo informações confidenciais. Especificamente, o construtor do CORSFilter e o método apply do CORSActionBuilder utilizam o objeto estático DefaultHttpErrorHandler como valor padrão.

Para versões anteriores à 2.8.16, ao construir um CORSFilter ou CORSActionBuilder, certifique-se de que um manipulador de erros devidamente configurado seja passado. Geralmente, isso deve ser feito usando a instância HttpErrorHandler fornecida por meio de injeção de dependência ou por meio dos BuiltInComponents do Play. Certifique-se de que o aplicativo não esteja usando o objeto estático DefaultHttpErrorHandler em nenhum código que possa ser executado em produção. Atualize para o Play Framework 2.8.16, onde o objeto DefaultHttpErrorHandler foi alterado para usar o comportamento do modo de produção, e o DevHttpErrorHandler ha