CVE-2026-44308

Nome do Software Vulnerável e Versões Afetadas Spring Cloud AWS versões 3.0.0 até 4.0.1

Descrição Aplicações que utilizam o suporte de endpoint HTTP/HTTPS do Spring Cloud AWS SNS através de @NotificationMessageMapping, @NotificationSubscriptionMapping ou @NotificationUnsubscribeConfirmationMapping não verificam a assinatura de mensagens SNS recebidas. Um invasor não autenticado que conheça a URL do endpoint pode enviar requisições HTTP POST manipuladas simulando mensagens de Notificação ou Confirmação de Assinatura do SNS. Isso permite que o invasor force a aplicação a processar cargas úteis arbitrárias como notificações legítimas ou a confirmar automaticamente assinaturas e cancelar a assinatura de tópicos controlados pelo invasor.

Recomendações Versões 3.0.0 até 4.0.1: Atualizar para a versão 4.0.2. Versões 3.0.0 até 3.4.2: Verificar manualmente a assinatura da mensagem SNS em um filtro de servlet ou Spring HandlerInterceptor utilizando SnsMessageManager antes que a requisição chegue ao controlador.