Vulnerabilidad en Eclipse Dataspace (CVE-2024-4536)

En los componentes de Eclipse Dataspace de la versión 0.2.1 a 0.6.2, en el componente EDC Connector (https://github.com/eclipse-edc/Connector), un atacante podría obtener secretos del cliente OAuth2 de la bóveda. En los componentes de Eclipse Dataspace de la versión 0.2.1 a 0.6.2, hemos identificado una vulnerabilidad de seguridad en el componente EDC Connector (https://github.com/eclipse-edc/Connector) con respecto a la función de receptor de datos protegido por OAuth2. Cuando se utiliza un receptor de datos personalizado protegido por OAuth2, el plano de datos del proveedor resuelve las propiedades de dirección de datos específicas de OAuth2. Lo problemático es que la clientSecretKey proporcionada por el consumidor, que indica el secreto del cliente OAuth2 para recuperar de una bóveda de secretos, se resuelve en el contexto de la bóveda del proveedor, no en el del consumidor. Luego, el valor de este secreto se envía a tokenUrl, también controlado por el consumidor, como parte de una concesión de credenciales de cliente OAuth2. El token de acceso devuelto se envía luego como token de portador a la URL del receptor de datos. Esta característica ahora está completamente deshabilitada porque no se implementaron completamente todas las rutas de código necesarias para una realización exitosa.