PT-2024-17546 · Red Hat · Jboss Eap
Farah Juma
·
Publicado
2024-04-09
·
Atualizado
2025-10-15
·
CVE-2024-1233
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
JBoss EAP (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no método
JwtValidator.resolvePublicKey do JBoss EAP, no qual o validador verifica o jku e envia uma solicitação HTTP. Durante esse processo, não é realizada nenhuma verificação de lista de permissões (whitelist) ou outro tipo de filtragem no endereço URL de destino, o que pode resultar em uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF).Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jboss Eap