VMWare Spring Security - CVE-2022-31692
Date de publication :
Une faille dans l'utilisation des redirections et inclusions du type Dispatcher dans Spring Security permet à un attaquant, sous certaines conditions, de contourner la politique de sécurité du système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-863: Incorrect Authorization
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Aucun.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
VMWare Security Spring
versions 5.7.0 à 5.7.4 et 5.6.0 à 5.6.8.
Contournement provisoire
- Les utilisateurs qui ne peuvent pas changer de version doivent utiliser : authorizeRequests().filterSecurityInterceptorOncePerRequest(false)place deauthorizeHttpRequests().shouldFilterAllDispatcherTypes(true)
- Les utilisateurs avec la version < 5.7.0 ne disposant pas de shouldFilterAllDispatcherTypesdisponible, doivent ajouter un ObjectPostProcessor.
Solutions ou recommandations
Mettre à jour VMWare Security Spring version 5.7.x à la version 5.7.5.
Mettre à jour VMWare Security Spring version 5.6.x à la version 5.6.9.
Des informations complémentaires sont disponibles ici.