PT-2020-13282 · Oracle+1 · Java+1
Publicado
2020-05-20
·
Atualizado
2021-07-21
·
CVE-2020-12835
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SmartBear ReadyAPI SoapUI Pro versão 3.2.5
Descrição
Foi detectada uma falha devido ao uso inseguro de um protocolo baseado em Java RMI em uma configuração insegura. Isso permite que um invasor injete objetos serializados maliciosos na comunicação, resultando na execução remota de código no contexto de um componente do Protocolo de Licenciamento de Rede do lado do cliente.
Recomendações
Para o SmartBear ReadyAPI SoapUI Pro versão 3.2.5, considere desativar o uso do protocolo baseado em Java RMI até que uma correção esteja disponível. Restrinja o acesso ao componente Network Licensing Protocol para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Java
Readyapi Soapui Pro