Omisión de autorización de recursos estáticos en aplicaciones WebFlux

octubre 28, 2024

CRÍTICO | 25 DE OCTUBRE DE 2024 | CVE-2024-38821

Descripción

Las aplicaciones Spring WebFlux que tienen reglas de autorización de Spring Security en recursos estáticos se pueden omitir en determinadas circunstancias.

Para que esto afecte una aplicación, todo lo siguiente debe ser cierto:

Debe ser una aplicación WebFlux.
Debe estar utilizando el soporte de recursos estáticos de Spring.
Debe tener una regla de autorización no permitAll aplicada al soporte de recursos estáticos.

Productos y versiones de primavera afectados

Esto afecta a las siguientes versiones de Spring Security:

5.7.0 – 5.7.12
5.8.0 – 5.8.14
6.0.0 – 6.0.12
6.1.0 – 6.1.10
6.2.0 – 6.2.6
6.3.0 – 6.3.3
Las versiones más antiguas y no compatibles también se ven afectadas

Mitigación

Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.

Source link

Omisión de autorización de recursos estáticos en aplicaciones WebFlux

Descripción

Productos y versiones de primavera afectados

Mitigación

Los investigadores encuentran, y ayudan a arreglar, una amenaza de bioseguridad oculta | Microsoft Signal Blog

Taavi Kupper comenzó a trabajar como jefe del departamento de incidentes de RIA

Red Hat Security Advisory (AV25-645)