Venkatraman Kumar

**Nome do Software Vulnerável e Versões Afetadas** Apache CXF versões anteriores a 4.2.2 Apache CXF versões anteriores a 4.1.7 **Descrição** As classes `EndpointReferenceUtils` e `W3CMultiSchemaFactory` constroem um `SAXParserFactory` sem as configurações de endurecimento JAXP necessárias. Isso permite a resolução de entidades externas out-of-band (OOB), um processo no qual um analisador XML é enganado para acessar recursos externos por meio de entidades externas. **Recomendações** Atualize para a versão 4.2.2. Atualize para a versão 4.1.7.

**Nome do Software Vulnerável e Versões Afetadas** Apache Fory fory-core versões anteriores a 1.1.0 **Description** A desserialização de dados não confiáveis no caminho de substituição de resolução (replace-resolve) do Java em plataformas Java/JVM permite que um invasor remoto ignore as verificações de registro de classe, TypeChecker e DisallowedList. Ao utilizar dados serializados do Fory manipulados, um invasor pode invocar os hooks `readResolve()` e `readExternal()` presentes no classpath. **Recommendations** Atualize para a versão 1.1.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Apache Camel versões 3.0.0 até 4.14.6 Apache Camel versões 4.15.0 até 4.18.1 Apache Camel versões 4.19.0 até 4.19.x **Descrição** A função `extractBodyFromJms()` no `camel-jms` e a classe `JmsBinding` no `camel-sjms` desserializam a carga útil de valores JMS ObjectMessage recebidos via `javax.jms.ObjectMessage.getObject()` sem aplicar qualquer ObjectInputFilter, lista de permissões (allowlist) ou lista de bloqueios (denylist) de classes. Isso ocorre sempre que a opção `mapJmsMessage` está habilitada e o Camel atua como um consumidor JMS. Um invasor capaz de publicar um ObjectMessage manipulado em uma fila ou tópico consumido por uma aplicação Camel pode alcançar a execução remota de código quando uma cadeia de gadgets de desserialização estiver presente no classpath. O mesmo problema afeta transitivamente o `camel-sjms2`, `camel-amqp`, `camel-activemq` e `camel-activemq6`. **Recomendações** Atualize para a versão 4.14.7 para aqueles no fluxo de versões LTS 4.14.x. Atualize para a versão 4.18.2 para aqueles no fluxo de versões 4.18.x. Atualize para a versão 4.20.0 para todas as outras versões afetadas.

**Nome do Software Vulnerável e Versões Afetadas** Apache Camel versões 4.19.0 até 4.19.x Apache Camel versões 4.18.0 até 4.18.1 **Descrição** A classe `FileBasedKeyLifecycleManager` do Camel-PQC desserializa o conteúdo de arquivos `<keyId>.key` no diretório de chaves configurado usando `java.io.ObjectInputStream` sem aplicar um `ObjectInputFilter` ou restrições de carregamento de classe. Como a conversão para `java.security.KeyPair` ocorre apenas após o retorno da função `readObject()`, quaisquer efeitos colaterais no objeto desserializado são executados antes da verificação de tipo. Um invasor com acesso de escrita ao diretório de chaves — possivelmente obtido via path traversal, permissões de sistema de arquivos mal configuradas, um pipeline de provisionamento de chaves comprometido ou um ataque de symlink — pode inserir um objeto Java serializado manipulado para obter a execução de código arbitrário no contexto da aplicação. **Recomendações** Atualizar para a versão 4.20.0. Atualizar para a versão 4.18.2 para usuários no fluxo de versões LTS 4.18.x.

**Nome do Software Vulnerável e Versões Afetadas** Apache MINA versões 2.0.0 até 2.0.27 Apache MINA versões 2.1.0 até 2.1.10 Apache MINA versões 2.2.0 até 2.2.5 **Description** Existe um problema na função `getObject()` da classe `AbstractIoBuffer` devido a um mecanismo de desserialização incompleto. A lista de permissões (allowlist) de nomes de classes, que restringe quais classes podem ser desserializadas, é aplicada tarde demais, permitindo potencialmente que um inicializador estático em uma classe seja executado antes que a verificação ocorra. Essa falha permite que um invasor remoto execute código arbitrário em aplicações que chamam a função `getObject()`. **Recommendations** Atualizar para a versão 2.0.28 para as versões 2.0.0 até 2.0.27. Atualizar para a versão 2.1.11 para as versões 2.1.0 até 2.1.10. Atualizar para a versão 2.2.6 para as versões 2.2.0 até 2.2.5. Como medida paliativa temporária, restrinja o uso da função `getObject()`.

**Nome do Software Vulnerável e Versões Afetadas** Apache MINA versões 2.0.0 a 2.0.27 Apache MINA versões 2.1.0 a 2.1.10 Apache MINA versões 2.2.0 a 2.2.5 **Description** Uma falha na função `resolveClass()` do `AbstractIoBuffer` permite ignorar a lista de permissões (allowlist) de nomes de classes para classes estáticas ou tipos primitivos. Isso ocorre porque um dos ramos de execução não valida a classe, permitindo a desserialização insegura quando as aplicações chamam `IoBuffer.getObject()`. Isso pode levar à execução remota de código. **Recommendations** Atualizar para a versão 2.0.28 para as versões 2.0.0 a 2.0.27. Atualizar para a versão 2.1.11 para as versões 2.1.0 a 2.1.10. Atualizar para a versão 2.2.6 para as versões 2.2.0 a 2.2.5.

**Nome do Software Vulnerável e Versões Afetadas** Apache Camel versões 3.0.0 até 4.14.5 Apache Camel versões 4.15.0 até 4.18.1 Apache Camel versões 4.19.0 até 4.19.9 **Descrição** O componente `camel-mina` possui uma falha na função `MinaConverter.toObjectInput(IoBuffer)` onde ele encapsula um `IoBuffer` em um `java.io.ObjectInputStream` sem aplicar nenhum `ObjectInputFilter` ou restrições de carregamento de classe. Quando uma rota Camel utiliza o `camel-mina` como um consumidor TCP ou UDP e solicita a conversão para `ObjectInput` (por exemplo, via `getBody(ObjectInput.class)` ou `@Body ObjectInput`), um invasor remoto pode enviar um objeto Java serializado malicioso para a porta do consumidor MINA. Isso pode resultar na execução de código arbitrário no contexto da aplicação durante o processo `readObject()` devido à desserialização insegura. **Recomendações** Atualizar para a versão 4.14.6 para aqueles no fluxo de versões LTS 4.14.x. Atualizar para a versão 4.18.2 para aqueles no fluxo de versões 4.18.x. Atualizar para a versão 4.20.0 para todas as outras versões afetadas.