PT-2020-15197 · Apache · Apache Heron
Publicado
2020-04-16
·
Atualizado
2022-01-06
·
CVE-2020-1964
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Heron de 0.20.0-incubating a 0.20.2-incubating
Descrição
O problema está relacionado à deserialização de dados não confiáveis, permitindo a execução remota de código. Isso ocorre porque o analisador YAML não está configurado para impedir a instanciação de tipos arbitrários.
Recomendações
Para as versões do Apache Heron 0.20.0-incubating a 0.20.2-incubating, considere configurar o analisador YAML para impedir a instanciação de tipos arbitrários como medida de mitigação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Heron