CVE-2024-4536

Eclipse Dataspace Components, versões 0.2.1 a 0.6.2

Foi identificada uma falha de segurança no componente EDC Connector do Eclipse Dataspace Components, relacionada ao recurso de coletor de dados protegido por OAuth2. Ao usar um coletor de dados protegido por OAuth2 personalizado, as propriedades de endereço de dados específicas do OAuth2 são resolvidas pelo plano de dados do provedor. A clientSecretKey, que indica o segredo do cliente OAuth2 a ser recuperado de um cofre de segredos, é resolvida no contexto do cofre do provedor, e não do consumidor. Isso permite que um invasor possa obter segredos do cliente OAuth2 do cofre. O recurso está agora totalmente desativado devido à implementação incompleta dos caminhos de código necessários.

Para as versões 0.2.1 a 0.6.2 do Eclipse Dataspace Components, considere desativar totalmente o recurso de coletor de dados protegido por OAuth2, uma vez que ele foi desativado na implementação mais recente devido a preocupações de segurança. Restrinja o acesso ao componente EDC Connector para minimizar o risco de exploração. Evite usar o clientSecretKey no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.