PT-2020-2597 · Oracle+5 · Java Se Embedded+7
Dan Amodio
·
Publicado
2020-04-14
·
Atualizado
2026-05-08
·
CVE-2020-2800
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 7u251, 8u241, 11.0.6 e 14 do Java SE
Versão 8u241 do Java SE Embedded
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Lightweight HTTP Server do Oracle Java SE e do Java SE Embedded. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado para modificar, adicionar ou excluir dados, ou para acessar informações protegidas. A vulnerabilidade só pode ser explorada fornecendo dados às APIs no componente especificado, sem o uso de aplicativos Java Web Start não confiáveis ou applets Java não confiáveis. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis.
Recomendações
Para as versões 7u251, 8u241, 11.0.6 e 14 do Java SE, considere desativar o acesso ao componente Lightweight HTTP Server até que um patch esteja disponível.
Para a versão 8u241 do Java SE Embedded, restrinja o acesso ao componente vulnerável para minimizar o risco de exploração.
Como solução alternativa temporária, evite usar APIs no componente especificado sem a devida validação e sanitização dos dados de entrada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centos
Ibm Aix
Java Platform
Java Se
Java Se Embedded
Red Hat
Suse
Ubuntu