PT-2024-7497 · Spring · Spring Webflux
Tkswifty
·
Publicado
2024-10-25
·
Atualizado
2026-05-25
·
CVE-2024-38821
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas:
Spring WebFlux (versões afetadas não especificadas)
Descrição:
O problema é causado por falhas no procedimento de autorização dos frameworks web funcionais WebMvc.fn e WebFlux.fn do Spring Framework. Isso pode permitir que um invasor remoto comprometa a confidencialidade, a integridade e a disponibilidade de informações protegidas. Para que um aplicativo seja afetado, ele deve ser um aplicativo WebFlux, utilizar o suporte a recursos estáticos do Spring e ter uma regra de autorização diferente de permitAll aplicada ao suporte a recursos estáticos. Uma exploração para este problema já foi divulgada e está sendo ativamente utilizada.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Authorization
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Webflux