CVE-2020-11002

Versões do dropwizard-validation anteriores à 1.3.21 e à 2.0.3

Foi identificada uma injeção de modelo no lado do servidor no recurso de autovalidação do dropwizard-validation, permitindo que invasores injetem expressões Java EL arbitrárias, o que leva a uma vulnerabilidade de execução remota de código (RCE). Este problema pode permitir a execução remota de código (RCE), permitindo a execução de código arbitrário no sistema host com os privilégios da conta de serviço do Dropwizard. A avaliação de expressões EL foi desativada por padrão nas versões corrigidas.

Para resolver o problema, atualize para a versão 1.3.21 ou 2.0.3 do dropwizard-validation ou posterior.

Se você não puder atualizar para uma das versões mencionadas do dropwizard-validation, mas ainda quiser usar o recurso de autovalidação, certifique-se de sanitizar adequadamente qualquer mensagem que estiver adicionando ao ViolationCollector no método anotado com @SelfValidation.

Considere usar os métodos addViolation que suportam parâmetros de mensagem em vez de expressões EL, introduzidos no Dropwizard 1.3.21 e 2.0.3.

Como solução temporária, considere desativar o recurso de autovalidação até que um patch esteja disponível.

Restrinja o acesso ao módulo de autovalidação para minimizar o risco de exploração.

Evite usar o recurso de autovalidação no dropwizard-validation até que o problema seja resolvido.