One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8357729 |
| Date de publication | 2023-07-17 11:15:09 (vue: 2023-07-17 13:06:55) |
| Titre | CVE-2023-34036 |
| Texte | Les applications Web réactives qui utilisent des haineo de Spring pour produire des réponses basées sur l'hypermédia peuvent être exposées à des en-têtes transmis malveillants s'ils ne sont pas derrière un proxy de confiance qui garantit l'exactitude de ces en-têtes, ou s'ils n'ont rien d'autre à gérer pour gérer(et éventuellement rejeter) les en-têtes transférés dans WebFlux ou au niveau du serveur HTTP sous-jacent.
Pour que la demande soit affectée, elle doit satisfaire aux exigences suivantes:
* Il doit utiliser la pile Web réactive (Spring WebFlux) et Spring Hateoas pour créer des liens dans des réponses basées sur l'hypermédia.
* L'infrastructure de demande ne se prémène pas contre les clients soumettant (x-) transfert & acirc; & euro; & Brvbar; & acirc; & nbsp; en-têtes.
Reactive web applications that use Spring HATEOAS to produce hypermedia-based responses might be exposed to malicious forwarded headers if they are not behind a trusted proxy that ensures correctness of such headers, or if they don\'t have anything else in place to handle (and possibly discard) forwarded headers either in WebFlux or at the level of the underlying HTTP server. For the application to be affected, it needs to satisfy the following requirements: * It needs to use the reactive web stack (Spring WebFlux) and Spring HATEOAS to create links in hypermedia-based responses. * The application infrastructure does not guard against clients submitting (X-)Forwarded… headers. |
| Envoyé | Oui |
| Condensat | 2023 34036 affected against anything application applications are based behind clients correctness create cve discard does don either else ensures exposed following forwarded forwarded…â headers guard handle hateoas have headers http hypermedia infrastructure level links malicious might needs not place possibly produce proxy reactive requirements: responses satisfy server spring stack submitting such trusted underlying use web webflux |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.