CVE-2024-8642

Componentes do Eclipse Dataspace, versões 0.5.0 a 0.9.0

O problema está relacionado ao componente ConsumerPullTransferTokenValidationApiController, que possui procedimentos de autenticação inadequados. Isso permite que um invasor remoto contorne a verificação de expiração do token. A vulnerabilidade requer um dataplane configurado para suportar pull do consumidor via proxy HTTP e inclui o módulo “transfer-data-plane”. O código afetado foi marcado como obsoleto a partir da versão 0.6.0 em favor do Dataplane Signaling e foi removido na versão 0.9.0.

Para as versões 0.5.0 a 0.8.0 do Eclipse Dataspace Components, atualize para a versão 0.9.0 ou posterior para resolver o problema.

Para o Eclipse Dataspace Components versão 0.9.0, nenhuma ação é necessária, pois o código vulnerável foi removido.

Como solução alternativa temporária, considere desativar a função ConsumerPullTransferTokenValidationApiController até que um patch esteja disponível.

Restrinja o acesso ao módulo transfer-data-plane para minimizar o risco de exploração.