PT-2020-15644 · Taoensso · Taoensso Nippy
Publicado
2020-09-11
·
Atualizado
2022-02-10
·
CVE-2020-24164
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Taoensso Nippy anteriores à 2.14.2
Descrição
Existe uma falha de desserialização que permite que um invasor crie uma carga maliciosa capaz de executar código arbitrário ao ser desserializada. Esse problema surge devido ao uso automático da interface Java Serializable.
Recomendações
Para versões anteriores à 2.14.2, atualize para a versão 2.14.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a desserialização de dados não confiáveis para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Taoensso Nippy