PT-2022-20886 · Spring · Spring Data Rest
白帽酱
·
Publicado
2022-09-21
·
Atualizado
2022-09-22
·
CVE-2022-31679
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Spring Data REST versões 3.5.5 e anteriores
Spring Data REST versões 3.6.0 a 3.6.6
Spring Data REST versões 3.7.0 a 3.7.2
Descrição
A vulnerabilidade permite que invasores exponham atributos ocultos de entidades criando solicitações HTTP, caso conheçam a estrutura do modelo de domínio subjacente, em aplicativos que permitem acesso HTTP PATCH a recursos expostos pelo Spring Data REST.
Recomendações
Para as versões 3.5.5 e anteriores, atualize para uma versão não anterior à 3.5.5 para mitigar o risco.
Para as versões 3.6.0 a 3.6.6, atualize para uma versão posterior à 3.6.6 para resolver o problema.
Para as versões 3.7.0 a 3.7.2, atualize para uma versão posterior à 3.7.2 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso HTTP PATCH aos recursos expostos pelo Spring Data REST até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Data Rest