Terdapat temuan kerentanan pada produk Oracle dengan Spring Framework. Kerentanan ini dideskripsikan pada CVE-2022-22978 dengan tingkat severity Critical. Kerentanan ini dapat menyebabkan penyerang dapat melakukan Authorization Bypass via RegexRequestMatcher class.
Authorization Bypass merupakan sebuah kerentanan dimana pengguna non-admin dapat mengakses suatu halaman tanpa
peran/role sebagai admin. Serangan seperti ini dapat menyebabkan sejumlah hal seperti kebocoran data dan perubahan/pembuatan/penghapusan data yang tidak sah. Kerentanan dalam CVE-2022-22978 ditemukan dalam SpringSecurity Library. Spring Security versi 5.5.6 dan 5.5.7 dan versi lama yang tidak didukung, RegexRequestMatcher sehingga dapat dengan mudah melakukan misconfiguration untuk dilewati pada beberapa servlet container. Menggunakan RegexRequestMatcher dengan ‘.’ dalam regular expression mungkin rentan terhadap authorization bypass
Untuk info lebih lanjut Unduh Imbauan Keamanan Kerentanan Authorization bypass pada Spring Security
Sumber : Direktorat Operasi Keamanan Siber – BSSN
Authorization Bypass merupakan sebuah kerentanan dimana pengguna non-admin dapat mengakses suatu halaman tanpa
peran/role sebagai admin. Serangan seperti ini dapat menyebabkan sejumlah hal seperti kebocoran data dan perubahan/pembuatan/penghapusan data yang tidak sah. Kerentanan dalam CVE-2022-22978 ditemukan dalam SpringSecurity Library. Spring Security versi 5.5.6 dan 5.5.7 dan versi lama yang tidak didukung, RegexRequestMatcher sehingga dapat dengan mudah melakukan misconfiguration untuk dilewati pada beberapa servlet container. Menggunakan RegexRequestMatcher dengan ‘.’ dalam regular expression mungkin rentan terhadap authorization bypass
Untuk info lebih lanjut Unduh Imbauan Keamanan Kerentanan Authorization bypass pada Spring Security
Sumber : Direktorat Operasi Keamanan Siber – BSSN