Falha Crítica no Spring Authorization Server Expõe Sistemas a Ataques XSS e SSRF

A vulnerabilidade CVE-2026-22752 no Spring Security Authorization Server permite que atacantes com um Initial Access Token válido registrem clientes OAuth maliciosos através dos endpoints de Dynamic Client Registration. Isso pode desencadear Stored XSS, escalonamento de privilégios e SSRF contra a infraestrutura interna. A falha possui um CVSS vector de baixa complexidade e é explorável via rede. Ela afeta o Spring Security nas versões 7.0.0 a 7.0.4, e o Spring Authorization Server nas versões 1.3.0 a 1.3.10, 1.4.0 a 1.4.9 e 1.5.0 a 1.5.6. Administradores devem atualizar imediatamente para as versões 7.0.5, 1.3.11, 1.4.10 ou 1.5.7, ou desativar o Dynamic Client Registration como mitigação temporária. Isso é crucial devido ao risco de sequestro de contas em cascata em ambientes de microsserviços que utilizam OAuth.