top of page
Este site foi desenvolvido com o criador de sites
.com
. Crie seu site hoje.Começar

Mitigada Falha de broken access control no Spring Security - CVE-2024-22234


A spring security é uma framework que permite uma proteção ao nível da autenticação e autorização

A falha representada pelo CVE-2024-22234 provém do método AuthenticationTrustResolver.isFullyAuthenticated(Authentication), em que, sob determinadas condições, com um valor nulo de autenticação é possível gerar uma resposta errónea e, dessa forma, realizar autenticação de forma bem-sucedida


As aplicações não são vulneráveis caso preencham estes requisitos:

  • Não usam o método AuthenticationTrustResolver.isFullyAuthenticated(Authentication) diretamente.

  • Não passam valores nulos ao AuthenticationTrustResolver.isFullyAuthenticated

  • Só usam o isFullyAuthenticated pelo HTTP Request Security, ou seja, o método rejeita o pedido numa fase anterior



Solução

  • Atualizar para a versão 6.1.7 ou 6.2.2

  • Verifique se a aplicação está ou não a fazer chamadas do isFullyAuthenticated() diretamente no código, e implemente sanititização por possíveis valores nulos




Advisory oficial: https://spring.io/security/cve-2024-22234


Tags:

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page