Vulnerabilidad en Play Framework (CVE-2022-31023)

Play Framework es un framework web para Java y Scala. Las versiones anteriores a 2.8.16 son vulnerables a una generación de mensajes de error que contienen información confidencial. Play Framework, cuando es ejecutado en modo dev, muestra errores verbose para facilitar la depuración, incluyendo un seguimiento de la pila de excepciones. Play hace esto configurando su "DefaultHttpErrorHandler" para que lo haga en función del modo de aplicación. En su API Scala, Play también proporciona un objeto estático "DefaultHttpErrorHandler" que está configurado para mostrar siempre los errores verbose. Esto es usado como valor por defecto en algunas APIs de Play, por lo que es posible usar inadvertidamente esta versión en producción. También es posible configurar incorrectamente la instancia del objeto "DefaultHttpErrorHandler" como administrador de errores inyectado. Ambas situaciones podrían resultar en que sean mostrados errores verbales a usuarios en una aplicación de producción, lo que podría exponer información confidencial de la aplicación. En concreto, el constructor de "CORSFilter" y el método "apply" de "CORSActionBuilder" usan el objeto estático "DefaultHttpErrorHandler" como valor por defecto. Esto ha sido corregido en Play Framework versión 2.8.16. El objeto "DefaultHttpErrorHandler" ha sido cambiado para usar el comportamiento del modo prod, y ha sido introducido "DevHttpErrorHandler" para el comportamiento del modo dev. Se presenta una mitigación disponible. Cuando construya un "CORSFilter" o un "CORSActionBuilder", asegúrese de que es pasado un manejador de errores correctamente configurado. Generalmente, esto debería hacerse al usar la instancia "HttpErrorHandler" proporcionada mediante la inyección de dependencia o mediante "BuiltInComponents" de Play. Asegúrese de que la aplicación no usa el objeto estático "DefaultHttpErrorHandler" en ningún código que pueda ejecutarse en producción