Dan Rabe

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0 **Descrição** A vulnerabilidade está relacionada à divulgação de informações no componente JAXP do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Ela pode ser explorada por um invasor não autenticado com acesso à rede por meio de vários protocolos, permitindo acesso de leitura não autorizado a um subconjunto de dados acessíveis. Esta vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs. **Recomendações** Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que contenha a correção para esta vulnerabilidade. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que contenha a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente JAXP até que um patch esteja disponível. Evite usar APIs no componente especificado que possam fornecer dados a fontes não confiáveis até que o problema seja resolvido.