Spring: seria krytycznych bugów – w tym wykonanie kodu na serwerze w komponencie OAUTH2

Jeśli używasz Springa i użyłeś jego komponentu OAUTH2 do zbudowania Authorization Serwera, lepiej sprawdź czy nie jesteś podatny na wykonanie kodu na serwerze (bez uwierzytelnienia). Wymagane warunki:

• Act in the role of an Authorization Server (e.g. @EnableAuthorizationServer)
• Use the default Approval Endpoint

Kolejny, właśnie załatany problem to: CVE-2018-1258: Unauthorized Access with Spring Security Method Security. Opis podatności jest być może nieco enigmatyczny:

un unauthorized malicious user can gain unauthorized access to methods that should be restricted.

Ale wyobraźmy sobie ten problem w kontekście API – mamy dostęp tylko do metody GET, ale… udaje się w sposób nieautoryzowany dostać do DELETE, POST czy PUT.

Na deser mamy jeszcze ReDoS w Spring Messaging,  a jeśli i to komuś mało – jest też XXE w kilku komponentach.

Zapewne warto sprawdzić swoje bieżące, ale również historyczne (wdrożone już na produkcję) projekty.