Dpp

**Nome do Software Vulnerável e Versões Afetadas** mchange-commons-java versões anteriores a 0.4.0 **Descrição** O mchange-commons-java, uma biblioteca que fornece utilitários Java, contém código que replica implementações antigas do JNDI, incluindo suporte a valores remotos de `factoryClassLocation`. Isso permite o download e a execução potenciais de código malicioso se um aplicativo processar um objeto `javax.naming.Reference` ou serializado especialmente criado. Embora o JDK tenha proteções padrão contra esse comportamento por meio da propriedade do sistema `com.sun.jndi.ldap.object.trustURLCodebase`, a implementação independente do JNDI do mchange-commons-java contorna essas proteções. Isso significa que bibliotecas como c3p0, que utilizam o mchange-commons-java para resolução de JNDI, podem ser exploradas mesmo com um JDK hardened. A funcionalidade JNDI da biblioteca agora está protegida por parâmetros de configuração que, por padrão, possuem valores restritivos a partir da versão 0.4.0. O endpoint da API não é explicitamente mencionado. O parâmetro vulnerável é `factoryClassLocation`. **Recomendações** Atualize para a versão 0.4.0 ou posterior do mchange-commons-java. Evite utilizar versões do mchange-commons-java anteriores a 0.4.0 nos CLASSPATHs do aplicativo.

**Nome do Software Vulnerável e Versões Afetadas** Versões do c3p0 anteriores a 0.12.0 **Descrição** O c3p0, uma biblioteca de pooling de conexões JDBC, é suscetível a ataques através de objetos serializados em Java criados maliciosamente e instâncias de `javax.naming.Reference`. Especificamente, a propriedade `userOverridesAsString` em várias implementações de `ConnectionPoolDataSource`, que representa um `Map<String,Map<String,String>>`, era anteriormente mantida como um objeto serializado codificado em hexadecimal. Um atacante que consiga modificar esta propriedade, seja diretamente ou através de objetos serializados maliciosos ou instâncias de `javax.naming.Reference`, poderia potencialmente executar código arbitrário no `CLASSPATH` da aplicação. Este risco é amplificado por vulnerabilidades na dependência do c3p0, mchange-commons-java, que inclui funcionalidade JNDI com suporte sem restrições para valores remotos de `factoryClassLocation`. Atacantes poderiam aproveitar isso para definir `userOverridesAsString` com objetos indiretamente serializados via referências JNDI, levando ao download e execução de código malicioso a partir de um `factoryClassLocation` remoto. O uso de codificação hexadecimal de objetos serializados em Java para uma propriedade Java-Bean gravável exposta através de interfaces JNDI é uma preocupação de segurança significativa. **Recomendações** Atualize para a versão 0.12.0 ou posterior do c3p0.