Cowtowncoder

**Nome do software vulnerável e versões afetadas** FasterXML jackson-databind, versões 2.4.0-rc1 a 2.12.7.1 FasterXML jackson-databind, versões 2.13.x a 2.13.4.1 Bamboo Data Center e Server, versões 9.1.0 a 9.2.4 Bamboo Data Center e Server, versões 9.3.0 a 9.3.2 Bitbucket Data Center e Server, versões 7.17.0 a 7.21.13 Bitbucket Data Center e Server, versões 8.7.0 a 8.9.3 Bitbucket Data Center e Server, versões 8.10.0 a 8.10.3 Versões 8.11.0 a 8.11.2 do Bitbucket Data Center e Server Versões 8.12.0 a 8.12.0 do Bitbucket Data Center e Server Versões 8.13.0 a 8.13.0 do Bitbucket Data Center e Server **Descrição** A vulnerabilidade está relacionada ao esgotamento de recursos devido à falta de uma verificação nos deserializadores de valores primitivos para evitar o aninhamento profundo de matrizes de wrappers quando o recurso UNWRAP SINGLE VALUE ARRAYS está habilitado. Isso pode permitir que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário. **Recomendações** Para as versões 2.4.0-rc1 a 2.12.7.1 do FasterXML jackson-databind, atualize para a versão 2.12.7.1 ou posterior. Para as versões 2.13.x a 2.13.4.1 do FasterXML jackson-databind, atualize para a versão 2.13.4.2 ou posterior. Para as versões 9.1.0 a 9.2.4 do Bamboo Data Center e Server, atualize para a versão 9.2.5 ou posterior. Para as versões 9.3 do Bamboo Data Center e Server,

**Nome do software vulnerável e versões afetadas** com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, versões 0 a 2.11.4 com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, versões 2.12.0-rc1 a 2.12.1 **Descrição** O problema está relacionado à alocação de memória ilimitada no pacote com.fasterxml.jackson.dataformat:jackson-dataformat-cbor da biblioteca jackson-dataformats-binary. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A alocação não verificada de um buffer de bytes pode causar uma exceção java.lang.OutOfMemoryError. **Recomendações** Para as versões 0 a 2.11.4 do com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, atualize para a versão 2.11.4 ou posterior. Para as versões 2.12.0-rc1 a 2.12.1 do com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, atualize para a versão 2.12.1 ou posterior. Como solução temporária, considere restringir a alocação de buffers de bytes para evitar a exceção java.lang.OutOfMemoryError.

**Name of the Vulnerable Software and Affected Versions** jackson-dataformat-xml versions 2.7.0 through 2.7.7 jackson-dataformat-xml versions 2.8.0 through 2.8.3 **Description** The issue allows remote attackers to conduct server-side request forgery (SSRF) attacks via vectors related to a DTD. This can be exploited in the XmlMapper component of the Jackson XML dataformat. **Recommendations** For jackson-dataformat-xml versions 2.7.0 through 2.7.7, update to version 2.7.8 or later. For jackson-dataformat-xml versions 2.8.0 through 2.8.3, update to version 2.8.4 or later.