CVE-2024-38821
CriticalSummary
Aplikacje Spring WebFlux z regułami autoryzacji Spring Security na zasobach statycznych mogą być omijane w określonych okolicznościach. Aby podatność miała wpływ na aplikację, muszą być spełnione trzy warunki: musi to być aplikacja WebFlux, musi korzystać z obsługi zasobów statycznych Springa oraz musi mieć zastosowaną regułę autoryzacji, która nie zezwala na dostęp dla wszystkich.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do zasobów statycznych, co może prowadzić do ujawnienia wrażliwych informacji lub naruszenia integralności danych. W przypadku wykorzystania tej podatności, atakujący może ominąć zabezpieczenia aplikacji.
Recommendation
Zaleca się przegląd i aktualizację reguł autoryzacji dla zasobów statycznych w aplikacjach WebFlux, aby upewnić się, że są one odpowiednio skonfigurowane i nie pozwalają na nieautoryzowany dostęp. Warto również rozważyć aktualizację do najnowszej wersji Spring Security, aby skorzystać z poprawek bezpieczeństwa.
Original NVD description (English source)
Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances. For this to impact an application, all of the following must be true: * It must be a WebFlux application * It must be using Spring's static resources support * It must have a non-permitAll authorization rule applied to the static resources support

