Juliuskreutz

**Nome do software vulnerável e versões afetadas** Versões do Artemis Java Test Sandbox anteriores à 1.8.0 **Descrição** A vulnerabilidade permite que um invasor escape da sandbox incluindo arquivos de classe em um pacote no qual o Ares confia, possibilitando a execução de código Java arbitrário quando a vítima executa o código que deveria estar isolado na sandbox. Isso afeta todos os usuários do Artemis que testam tarefas em Java, permitindo potencialmente que o código dos alunos execute código arbitrário no contêiner ou na máquina de um avaliador durante a correção manual. **Recomendações** Para versões do Artemis Java Test Sandbox anteriores à 1.8.0, use o plugin Maven Enforcer para rejeitar a compilação se as classes dos alunos residirem em pacotes nos quais o Ares confia. Configure o plugin da seguinte forma: ```xml <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-enforcer-plugin</artifactId> <version>3.0.0</version> <executions> <execution> <id>enforce-no-student-code-in-trusted-packages</id> <phase>process-classes</phase> <goals> <goal>enforce</goal> </goals> </execution> </executions> <configuration> <rules> <requireFilesDontExist> <files> <!-- ADICIONE AQUI AS REGRAS QUE O ARES INDICA QUE ESTÃO FALTANDO --> </files> </requireFilesDontExist> </rules> </configuration> </plugin> ``` Adicione os pacotes confiáveis especificados pelo Ares usando `@AddTrustedPackage` ao con