top of page

Mitigada Falha de broken access control no Spring Security - CVE-2024-22234

A spring security é uma framework que permite uma proteção ao nível da autenticação e autorização

A falha representada pelo CVE-2024-22234 provém do método AuthenticationTrustResolver.isFullyAuthenticated(Authentication), em que, sob determinadas condições, com um valor nulo de autenticação é possível gerar uma resposta errónea e, dessa forma, realizar autenticação de forma bem-sucedida

As aplicações não são vulneráveis caso preencham estes requisitos:

Não usam o método AuthenticationTrustResolver.isFullyAuthenticated(Authentication) diretamente.
Não passam valores nulos ao AuthenticationTrustResolver.isFullyAuthenticated
Só usam o isFullyAuthenticated pelo HTTP Request Security, ou seja, o método rejeita o pedido numa fase anterior

Solução

Atualizar para a versão 6.1.7 ou 6.2.2
Verifique se a aplicação está ou não a fazer chamadas do isFullyAuthenticated() diretamente no código, e implemente sanititização por possíveis valores nulos

Advisory oficial: https://spring.io/security/cve-2024-22234

Comments

POSTS RECENTES:

Microsoft Patch Tuesday - novembro 2024

Caso não tenha ainda atualizado os seus dispositivos com Veeam, é bom que o faça

Github endereça falha crítica no Enterprise Server

Palo Alto endereça falhas críticas nas firewalls PAN-OS

Microsoft Patch Tuesday - outubro 2024

Apple lança correções para vulnerabilidade no voiceover

Microsoft Patch Tuesday - setembro 2024

Falha de execução de código remota no plugin WPML de Wordpress

Microsoft Patch Tuesday - agosto 2024

Falha de execução de código remota no jenkins

PROCURE POR TAGS:

bottom of page