PT-2024-28230 · Unknown · Spring Security
Josh Cummings
·
Publicado
2024-08-19
·
Atualizado
2025-02-28
·
CVE-2024-38810
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.3.0 a 6.3.1 do Spring Security
Descrição
O problema está relacionado à falta de autorização ao usar
@AuthorizeReturnObject no Spring Security, permitindo que um invasor torne as anotações de segurança ineficazes. Isso potencialmente permite o acesso não autorizado a dados confidenciais dentro dos aplicativos afetados. De acordo com os dados disponíveis, há aproximadamente 8.577 aplicativos potencialmente afetados, e mais de 1.200 resultados foram encontrados em uma plataforma de busca específica.Recomendações
Para as versões 6.3.0 e 6.3.1 do Spring Security, considere desativar o uso de
@AuthorizeReturnObject até que um patch esteja disponível para impedir que invasores tornem as anotações de segurança ineficazes.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authentication
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Security