PT-2024-14824 · Quarkus · Quarkus
Michal Vavřík
+1
·
Publicado
2024-01-25
·
Atualizado
2024-08-01
·
CVE-2023-5675
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Quarkus anteriores à 3.6.9
Versões do Quarkus anteriores à 3.7.1
Versões do Quarkus anteriores à 3.8.x
Descrição
Foi identificada uma falha no Quarkus. Quando um endpoint Quarkus RestEasy Classic ou Reactive JAX-RS tem seus métodos declarados na classe Java abstrata ou personalizados por extensões do Quarkus usando o processador de anotações, a autorização desses métodos não será aplicada se estiver habilitada pelas propriedades
quarkus.security.jaxrs.deny-unannotated-endpoints ou quarkus.security.jaxrs.default-roles-allowed.Recomendações
Para versões do Quarkus anteriores à 3.6.9, atualize para a versão 3.6.9 ou posterior.
Para versões do Quarkus anteriores à 3.7.1, atualize para a versão 3.7.1 ou posterior.
Para versões do Quarkus anteriores à 3.8.x, atualize para o ramo LTS 3.8.x.
Como solução alternativa temporária, considere desativar as propriedades
quarkus.security.jaxrs.deny-unannotated-endpoints e quarkus.security.jaxrs.default-roles-allowed até que um patch esteja disponível.Restrinja o acesso aos endpoints Quarkus RestEasy Classic ou Reactive JAX-RS para minimizar o risco de exploração.
Correção
Improper Authentication
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Quarkus