Lỗ hổng điểm 9.1 cho phép bỏ qua xác thực trong ứng dụng Spring Webflux

[WhiteHat Team]

Nếu bị khai thác, lỗ hổng này có thể cho phép truy cập trái phép vào các tài nguyên tĩnh, làm suy yếu tính bảo mật của ứng dụng.

Spring Security đã công bố CVE-2024-38821, một lỗ hổng nghiêm trọng ảnh hưởng đến các ứng dụng WebFlux - một framework lập trình phản ứng của Spring Framework trong Java, với điểm CVSS nghiêm trọng là 9.1. Lỗ hổng này cho phép "bỏ qua ủy quyền (lỗi bypass) các tài nguyên tĩnh (như hình ảnh, tập tin CSS, JavaScript) trong các ứng dụng WebFlux" trong một số điều kiện cụ thể.

Theo khuyến cáo, lỗi bỏ qua uỷ quyền xảy ra trong các ứng dụng Spring WebFlux khi đáp ứng tất cả các điều kiện sau:

• Ứng dụng được xây dựng bằng Spring WebFlux.
• Ứng dụng sử dụng hỗ trợ cho các tài nguyên tĩnh của Spring.
• Ứng dụng áp dụng một quy tắc uỷ quyền không phải là permitAll đối với các tài nguyên tĩnh (tức là yêu cầu xác thực hoặc quyền truy cập đối với các tài nguyên tĩnh).

Các phiên bản bị ảnh hưởng bao gồm Spring Security 5.7.x đến 6.3.x, cụ thể là:

• 5.7.0 – 5.7.12
• 5.8.0 – 5.8.14
• 6.0.0 – 6.0.12
• 6.1.0 – 6.1.10
• 6.2.0 – 6.2.6
• 6.3.0 – 6.3.3

Các phiên bản Spring Security cũ, dù đã không còn được Spring hỗ trợ vẫn bị ảnh hưởng bởi lỗ hổng CVE-2024-38821. Nhóm phát triển Spring Security khuyến cáo người dùng đang sử dụng các phiên bản bị ảnh hưởng này cần nâng cấp lên phiên bản mới đã được vá, có sẵn trên cả kênh Phần mềm nguồn mở (OSS) và Hỗ trợ doanh nghiệp.

Các phiên bản mới nhất cần cập nhật ngay để tránh khả năng bị khai thác:

• Đối với dòng 5.7.x: Cập nhật lên 5.7.13 (có sẵn qua hỗ trợ doanh nghiệp).
• Đối với dòng 5.8.x: Cập nhật lên 5.8.15 (hỗ trợ doanh nghiệp).
• Đối với dòng 6.0.x: Cập nhật lên 6.0.13 (hỗ trợ doanh nghiệp).
• Đối với dòng 6.1.x: Cập nhật lên 6.1.11 (hỗ trợ doanh nghiệp).
• Đối với dòng 6.2.x: Cập nhật lên 6.2.7 (OSS).
• Đối với dòng 6.3.x: Cập nhật lên 6.3.4 (OSS).

Theo Security Online​