Falha Crítica no Spring Authorization Server Expõe Sistemas a Ataques XSS e SSRF

23 de abril de 2026

Resumo

A vulnerabilidade CVE-2026-22752 no Spring Security Authorization Server permite que atacantes com um Initial Access Token válido registrem clientes OAuth maliciosos através dos endpoints de Dynamic Client Registration. Isso pode desencadear Stored XSS, escalonamento de privilégios e SSRF contra a infraestrutura interna. A falha possui um CVSS vector de baixa complexidade e é explorável via rede. Ela afeta o Spring Security nas versões 7.0.0 a 7.0.4, e o Spring Authorization Server nas versões 1.3.0 a 1.3.10, 1.4.0 a 1.4.9 e 1.5.0 a 1.5.6. Administradores devem atualizar imediatamente para as versões 7.0.5, 1.3.11, 1.4.10 ou 1.5.7, ou desativar o Dynamic Client Registration como mitigação temporária. Isso é crucial devido ao risco de sequestro de contas em cascata em ambientes de microsserviços que utilizam OAuth.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de abril de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?