Paul Irwin

Nome do software vulnerável e versões afetadas: Versões do Apache Lucene de 4.4.0 a 9.11.0 Descrição: O problema está relacionado à desserialização de dados não confiáveis no Apache Lucene Replicator. Ele afeta o pacote obsoleto org.apache.lucene.replicator.http, mas não o pacote org.apache.lucene.replicator.nrt. A desserialização só pode ser acionada se os usuários implantarem ativamente uma implementação acessível pela rede e um cliente correspondente usando uma biblioteca HTTP que utilize a API. Recomendações: Para as versões 4.4.0 a 9.11.0, atualize para a versão 9.12.0 para corrigir o problema. Como solução alternativa temporária, considere usar filtros de serialização Java, como `-Djdk.serialFilter=‘!*’` na linha de comando, para mitigar o problema em versões vulneráveis sem afetar a funcionalidade.