PT-2020-3454 · Oracle+6 · Java Se Embedded+10
Roman Shemyakin
·
Publicado
2020-07-14
·
Atualizado
2026-05-08
·
CVE-2020-14621
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE
Versão 8u251 do Java SE Embedded
Descrição
A vulnerabilidade está relacionada ao componente JAXP e é causada por um controle de acesso inadequado. Ela permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Java SE e o Java SE Embedded, resultando em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. Isso pode ser explorado fornecendo dados às APIs no componente especificado sem usar aplicativos Java Web Start não confiáveis ou miniaplicativos Java não confiáveis, como por meio de um serviço web.
Recomendações
Para as versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE, considere restringir o acesso ao componente JAXP até que um patch esteja disponível.
Para a versão 8u251 do Java SE Embedded, considere restringir o acesso ao componente JAXP até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar o uso de APIs no componente JAXP para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centos
Ibm Aix
Jaxp
Java Platform
Java Se
Java Se Embedded
Java Web Start
Linuxmint
Red Hat
Suse
Ubuntu