CVE-2026-39852

Nome do Software Vulnerável e Versões Afetadas Quarkus versão 3.32.4

Descrição Existe uma falha de bypass de autorização onde pontos e vírgulas usados como parâmetros de matriz em requisições HTTP podem burlar restrições de segurança, potencialmente concedendo acesso não autorizado a recursos protegidos. Usuários não autenticados ou com privilégios reduzidos podem ignorar políticas de autorização baseadas em caminhos HTTP ao anexar um ponto e vírgula (;) e texto arbitrário à URL da requisição. Isso ocorre devido a uma inconsistência na normalização do caminho: a camada de segurança realiza verificações de autorização no caminho da URL bruta, enquanto a camada de roteamento do RESTEasy Reactive remove os parâmetros de matriz antes de corresponder aos endpoints. Consequentemente, uma requisição para um endpoint como "/api/admin;anything" pode burlar as políticas que protegem "/api/admin", mas ainda assim ser roteada para esse endpoint protegido.

Recomendações Atualize a versão 3.32.4 do Quarkus para uma versão corrigida.