Omisión de autenticación en Spring Security

Fecha de publicación 29/10/2024

Identificador

INCIBE-2024-0537

Importancia

5 - Crítica

Recursos Afectados

Spring Security, versiones:

desde 5.7.0 hasta 5.7.12;
desde 5.8.0 hasta 5.8.14;
desde 6.0.0 hasta 6.0.12;
desde 6.1.0 hasta 6.1.10;
desde 6.2.0 hasta 6.2.6;
desde 6.3.0 hasta 6.3.3;
versiones más antiguas que las mencionadas y que carecen de soporte.

Descripción

Los investigadores, tkswifty y d4y1ightl, han reportado una vulnerabilidad de severidad crítica que afecta a aplicaciones Spring WebFlux que contienen reglas de autorización de Spring Security, y cuya explotación podría permitir a un atacante omitir el proceso de autenticación.

Solución

Actualizar Spring Security a las versiones:

5.7.13;
5.8.15;
6.0.13;
6.1.11;
6.2.7 (open source support);
6.3.4 (open source support).

Detalle

Las aplicaciones Spring WebFlux tienen reglas de autorización de Spring Security en recursos estáticos y dichas reglas, podrían ser omitidas en determinadas circunstancias, concretamente se deberían cumplir las siguientes condiciones:

debe ser una aplicación WebFlux,
debe estar utilizando el soporte de recursos estáticos de Spring,
debe tener una regla de autorización non-permitAll aplicada al soporte de recursos estáticos.

Se ha asignado el identificador CVE-2024-38821 para esta vulnerabilidad.

Listado de referencias

Authorization Bypass of Static Resources in WebFlux Applications

Spring Security vulnerable to Authorization Bypass of Static Resources in WebFlux Applications

Etiquetas