Fabian Meumertzheim

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente ImageIO, permitindo que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Oracle Java SE e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar em uma negação parcial de serviço. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, como por meio de um serviço web que forneça dados às APIs. **Recomendações** Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente ImageIO até que um patch esteja disponível. Evite usar APIs no componente especificado que forneçam dados de fontes não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0 **Descrição** A vulnerabilidade no componente ImageIO do Oracle Java SE e do Oracle GraalVM Enterprise Edition está relacionada à alocação ilimitada de recursos. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação parcial de serviço. Esse problema afeta implantações Java que carregam e executam código não confiável, contando com a sandbox do Java para segurança. A vulnerabilidade pode ser explorada por meio de APIs no componente especificado, por exemplo, através de um serviço web que fornece dados às APIs. **Recomendações** Para as versões 11.0.13 e 17.0.1 do Oracle Java SE: atualize para uma versão que inclua a correção para esta vulnerabilidade. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition: atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao componente ImageIO até que um patch esteja disponível. Evite usar APIs no componente especificado que possam fornecer dados a fontes não confiáveis.

**Nome do software vulnerável e versões afetadas** Servidor HTTP Apache, versões 2.4.30 a 2.4.48 **Descrição** Um caminho URI de solicitação cuidadosamente elaborado pode fazer com que o mod proxy uwsgi leia além da memória alocada e trave, resultando em uma negação de serviço (DoS). O problema está relacionado à função mod proxy uwsgi no servidor HTTP Apache, que permite que um invasor remoto explore a vulnerabilidade enviando uma solicitação com um caminho URI especialmente elaborado. **Recomendações** Para as versões 2.4.30 a 2.4.48 do servidor HTTP Apache, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do OWASP json-sanitizer anteriores à 1.2.2 Descrição: O problema ocorre quando uma entrada manipulada é processada, podendo levar à geração de JSON inválido ou ao lançamento de uma exceção não declarada. Essa situação pode resultar em uma negação de serviço se a aplicação não estiver preparada para lidar com tais exceções. Recomendações: Para versões anteriores à 1.2.2, atualize para a versão 1.2.2 ou posterior para resolver o problema. Como solução temporária, considere implementar mecanismos de tratamento de exceções para gerenciar exceções não declaradas e saídas JSON inválidas.