PT-2020-12288 · Red Hat+1 · Hibernate Validator+1

Publicado

2020-05-06

·

Atualizado

2022-05-10

·

CVE-2020-10693

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Hibernate Validator versão 6.1.2.Final
Descrição
Foi identificada uma falha no processador de interpolação de mensagens do Hibernate Validator, permitindo que expressões EL inválidas fossem avaliadas como se fossem válidas. Isso permite que invasores contornem os controles de sanitização de entrada que os desenvolvedores possam ter implementado ao lidar com dados controlados pelo usuário em mensagens de erro.
Recomendações
Para o Hibernate Validator versão 6.1.2.Final, considere desativar o processador de interpolação de mensagens até que um patch esteja disponível para impedir a avaliação de expressões EL inválidas. Restrinja o tratamento de dados controlados pelo usuário em mensagens de erro para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

CVE-2020-10693
GHSA-RMRM-75HP-PHR2
OESA-2021-1138
RHSA-2020:3461
RHSA-2020:3462
RHSA-2020:3463
RHSA-2020:3637
RHSA-2020:3638
RHSA-2020:3639
RHSA-2020:4366

Produtos afetados

Debian
Hibernate Validator