-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng điểm 9.1 cho phép bỏ qua xác thực trong ứng dụng Spring Webflux
Nếu bị khai thác, lỗ hổng này có thể cho phép truy cập trái phép vào các tài nguyên tĩnh, làm suy yếu tính bảo mật của ứng dụng.
Spring Security đã công bố CVE-2024-38821, một lỗ hổng nghiêm trọng ảnh hưởng đến các ứng dụng WebFlux - một framework lập trình phản ứng của Spring Framework trong Java, với điểm CVSS nghiêm trọng là 9.1. Lỗ hổng này cho phép "bỏ qua ủy quyền (lỗi bypass) các tài nguyên tĩnh (như hình ảnh, tập tin CSS, JavaScript) trong các ứng dụng WebFlux" trong một số điều kiện cụ thể.
Theo khuyến cáo, lỗi bỏ qua uỷ quyền xảy ra trong các ứng dụng Spring WebFlux khi đáp ứng tất cả các điều kiện sau:
Các phiên bản mới nhất cần cập nhật ngay để tránh khả năng bị khai thác:
Spring Security đã công bố CVE-2024-38821, một lỗ hổng nghiêm trọng ảnh hưởng đến các ứng dụng WebFlux - một framework lập trình phản ứng của Spring Framework trong Java, với điểm CVSS nghiêm trọng là 9.1. Lỗ hổng này cho phép "bỏ qua ủy quyền (lỗi bypass) các tài nguyên tĩnh (như hình ảnh, tập tin CSS, JavaScript) trong các ứng dụng WebFlux" trong một số điều kiện cụ thể.
Theo khuyến cáo, lỗi bỏ qua uỷ quyền xảy ra trong các ứng dụng Spring WebFlux khi đáp ứng tất cả các điều kiện sau:
- Ứng dụng được xây dựng bằng Spring WebFlux.
- Ứng dụng sử dụng hỗ trợ cho các tài nguyên tĩnh của Spring.
- Ứng dụng áp dụng một quy tắc uỷ quyền không phải là permitAll đối với các tài nguyên tĩnh (tức là yêu cầu xác thực hoặc quyền truy cập đối với các tài nguyên tĩnh).
- 5.7.0 – 5.7.12
- 5.8.0 – 5.8.14
- 6.0.0 – 6.0.12
- 6.1.0 – 6.1.10
- 6.2.0 – 6.2.6
- 6.3.0 – 6.3.3
Các phiên bản mới nhất cần cập nhật ngay để tránh khả năng bị khai thác:
- Đối với dòng 5.7.x: Cập nhật lên 5.7.13 (có sẵn qua hỗ trợ doanh nghiệp).
- Đối với dòng 5.8.x: Cập nhật lên 5.8.15 (hỗ trợ doanh nghiệp).
- Đối với dòng 6.0.x: Cập nhật lên 6.0.13 (hỗ trợ doanh nghiệp).
- Đối với dòng 6.1.x: Cập nhật lên 6.1.11 (hỗ trợ doanh nghiệp).
- Đối với dòng 6.2.x: Cập nhật lên 6.2.7 (OSS).
- Đối với dòng 6.3.x: Cập nhật lên 6.3.4 (OSS).
Theo Security Online