Se ha detectado una vulnerabilidad de severidad crítica en el framework Spring utilizado para el desarrollo de aplicaciones Java. Esta vulnerabilidad permite a actores maliciosos obtener acceso no autorizado.
Productos Afectados
Spring Security:
- Versiones 5.7.0 a 5.7.12
- Versiones 5.8.0 a 5.8.14
- Versiones 6.0.0 a 6.0.12
- Versiones 6.1.0 a 6.1.10
- Versiones 6.2.0 a 6.2.6
- Versiones 6.3.3 y anteriores
Observación: Solo las aplicaciones WebFlux que utilicen el soporte para recursos estáticos de Spring y tengan una regla non-permitAll aplicada son afectadas por la vulnerabilidad.
Impacto
La vulnerabilidad se identifica como:
CVE-2024-38821: Puntuación CVSS 9.1, severidad crítica. Una inadecuada autenticación en el acceso de recursos estáticos en aplicaciones WebFlux permite que un atacante remoto no autenticado omita procesos de autenticación y obtenga acceso no autorizado.
Recomendación
Actualizar los productos afectados a la última versión ofrecida por el fabricante.
Referencias
https://www.cve.org/CVERecord?id=CVE-2024-38821