CVE-2019-17634

Eclipse Memory Analyzer versões 1.9.1 e anteriores

O problema está relacionado a erros no processamento de solicitações HTML especialmente criadas no componente de geração de relatórios do software Eclipse Memory Analyzer para análise de aplicativos Java. A exploração desse problema pode permitir que um invasor remoto execute código arbitrário no sistema alvo. A vulnerabilidade pode ser acionada quando um usuário gera um relatório HTML a partir de um despejo de pilha malicioso, que pode ter sido criado de forma maliciosa ou provir de um aplicativo malicioso ou de um aplicativo que processa dados maliciosos. Isso pode ocorrer quando um relatório é gerado e aberto a partir da interface gráfica do usuário do Memory Analyzer ou quando um relatório gerado em modo de lote é aberto no Memory Analyzer ou por um navegador da web.

Para as versões 1.9.1 e anteriores do Eclipse Memory Analyzer, evite gerar relatórios HTML a partir de despejos de pilha não confiáveis até que uma correção esteja disponível. Como solução alternativa temporária, considere desativar o recurso de geração de relatórios HTML na interface gráfica do usuário do Memory Analyzer para minimizar o risco de exploração. Restrinja o acesso ao componente de relatórios para prevenir possíveis ataques.