PT-2020-18464 · Spring+1 · Spring Batch+1
Srikanth Ramu
·
Publicado
2020-06-11
·
Atualizado
2022-05-24
·
CVE-2020-5411
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Spring Batch (versões afetadas não especificadas)
Descrição
O problema diz respeito a uma vulnerabilidade de deserialização no Jackson que pode levar à execução de código arbitrário quando a tipagem padrão está habilitada. Essa vulnerabilidade pode ser explorada no Spring Batch se o suporte ao Jackson for usado para serializar o ExecutionContext de um trabalho e um usuário mal-intencionado obtiver acesso de gravação ao armazenamento de dados usado pelo JobRepository. A vulnerabilidade é mitigada pela lista negra do Jackson de “gadgets de deserialização” conhecidos. No entanto, para se proteger contra gadgets desconhecidos, medidas proativas devem ser tomadas ao habilitar a tipagem padrão.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jackson
Spring Batch