Kritická zraniteľnosť Spring WebFlux

Spoločnosť Broadcom vydala bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť vo webovom frameworku Spring WebFlux. Bližšie nešpecifikovanú zraniteľnosť s označením CVE-2024-38821 by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie bezpečnostných mechanizmov a narušenie dôvernosti a integrity systému.

Zraniteľné systémy:

• Spring WebFlux 5.7.0 – 5.7.12, 5.8.0 – 5.8.14
• Spring WebFlux 6.0.0 – 6.0.12, 6.1.0. – 6.1.10, 6.2.0 – 6.2.6, 6.3.0 – 6.3.3
• Spring WebFlux staršie verzie (nepodporované)

Opis činnosti:

CVE-2024-38821 (CVSSv3.1 skóre 9,1)

Vývojári Spring Framework opravili kritickú zraniteľnosť v module Spring WebFlux, ktorá súvisí s možnosťou za istých nešpecifikovaných podmienok obchádzať pravidlá autorizácie „Spring Security“ pre statické zdroje v aplikáciách WebFlux. Pre jej úspešné zneužitie musí aplikácia využívať podporu statických zdrojov Spring a mať pre ňu nastavené autorizačné pravidlo „non-permitAll“.

Možné škody:

• Neautorizovaný prístup ku zdrojom

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie

• Spring WebFlux 5.7.13, 5.8.15
• Spring WebFlux 6.0.13, 6.1.11, 6.2.7, 6.3.4

Odkazy:

• https://spring.io/security/cve-2024-38821
• https://www.cve.org/CVERecord?id=CVE-2024-38821