PT-2024-19989 · Unknown · Micronaut Framework
Mattmoss
·
Publicado
2024-02-08
·
Atualizado
2024-02-16
·
CVE-2024-23639
CVSS v3.1
5.1
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Micronaut Framework anteriores à 3.8.3
Descrição
O problema diz respeito a endpoints de gerenciamento habilitados, mas não protegidos, no Micronaut Framework, que são suscetíveis a ataques drive-by localhost. Um site malicioso ou comprometido pode fazer solicitações HTTP para
localhost e, se esses endpoints não estiverem protegidos, eles podem ser acionados. Isso é particularmente problemático em ambientes de desenvolvimento, onde tais endpoints podem ser habilitados sem medidas de segurança para facilitar o desenvolvimento. Ambientes de produção normalmente têm endpoints não utilizados desativados e os endpoints necessários protegidos.Recomendações
Para versões do Micronaut Framework anteriores à 3.8.3, atualize para a versão 3.8.3 para resolver o problema. Como solução alternativa temporária, considere desativar os pontos de extremidade de gerenciamento não protegidos ou restringir o acesso a eles até que a atualização possa ser aplicada.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Micronaut Framework