PT-2020-15234 · Quantconnect+1 · Quantconnect Lean+1
Raj-Kumar-Jo
·
Publicado
2020-12-14
·
Atualizado
2022-05-24
·
CVE-2020-20136
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
QuantConnect Lean, versões 2.3.0.0 a 2.4.0.1
Descrição
O problema está relacionado a uma vulnerabilidade de deserialização insegura, causada pela configuração inadequada da propriedade
TypeNameHandling na biblioteca Json.NET. Essa vulnerabilidade pode ser mitigada executando o software afetado apenas em um ambiente onde os dados fornecidos sejam confiáveis.Recomendações
Para as versões 2.3.0.0 a 2.4.0.1 do QuantConnect Lean, considere executar o software em um ambiente confiável para minimizar o risco de exploração. Como solução temporária, restrinja o uso de dados não confiáveis na biblioteca Json.NET até que um patch esteja disponível.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jsonnet
Quantconnect Lean