Vulnerabilidad en Micronaut Framework (CVE-2024-23639)

Micronaut Framework es un framework Java moderno, de pila completa y basado en JVM, manipulado para crear aplicaciones JVM modulares y fácilmente comprobables con soporte para Java, Kotlin y el lenguaje Groovy. Los endpoints de administración habilitados pero no seguros son susceptibles a ataques de host local. Si bien no son típicos de una aplicación de producción, estos ataques pueden tener un mayor impacto en un entorno de desarrollo donde dichos endpoints pueden activarse sin pensarlo mucho. Un sitio web malicioso o comprometido puede realizar solicitudes HTTP a "localhost". Normalmente, dichas solicitudes desencadenarían una verificación previa de CORS que impediría la solicitud; sin embargo, algunas solicitudes son "simples" y no requieren una verificación previa. Estos endpoints, si están habilitados y no protegidos, son vulnerables a ser activados. Los entornos de producción normalmente desactivan los endpoints no utilizados y protegen/restringen el acceso a los endpoints necesarios. Una víctima más probable es el desarrollador de su host de desarrollo local, que ha habilitado endpoints sin seguridad para facilitar el desarrollo. Este problema se solucionó en la versión 3.8.3. Se recomienda a los usuarios que actualicen.