Vulnerabilidad en Spring Security (CVE-2024-22234)

En Spring Security, versiones 6.1.x anteriores a 6.1.7 y versiones 6.2.x anteriores a 6.2.2, una aplicación es vulnerable a un control de acceso roto cuando utiliza directamente el método AuthenticationTrustResolver.isFullyAuthenticated(Authentication). Específicamente, una aplicación es vulnerable si: * La aplicación usa AuthenticationTrustResolver.isFullyAuthenticated(Authentication) directamente y se le pasa un parámetro de autenticación nulo, lo que genera un valor de retorno verdadero erróneo. Una aplicación no es vulnerable si se cumple alguna de las siguientes condiciones: * La aplicación no utiliza AuthenticationTrustResolver.isFullyAuthenticated(Authentication) directamente. * La aplicación no pasa nulo a AuthenticationTrustResolver.isFullyAuthenticated * La aplicación solo usa isFullyAuthenticated a través de Method Security https://docs.spring.io/spring-security/reference/servlet/authorization/method-security.html o HTTP Request Security https://docs.spring.io/spring-security/reference/servlet/authorization/authorize-http-requests.html