PT-2020-3534 · Oracle+6 · Java Se Embedded+8
Markus Loewe
·
Publicado
2020-07-14
·
Atualizado
2026-05-08
·
CVE-2020-14583
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE
Versão 8u251 do Java SE Embedded
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Libraries do Oracle Java SE e do Java SE Embedded. Isso pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos para comprometer o Java SE e o Java SE Embedded, levando potencialmente a uma tomada de controle. A vulnerabilidade afeta implantações Java que carregam e executam código não confiável, como aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox, e dependem da sandbox do Java para segurança. Ela não se aplica a implantações Java que carregam e executam apenas código confiável, normalmente em servidores.
Recomendações
Para as versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE, atualize para uma versão que contenha uma correção para este problema.
Para a versão 8u251 do Java SE Embedded, atualize para uma versão que contenha uma correção para este problema.
Como solução alternativa temporária, considere restringir o uso do componente Bibliotecas até que um patch esteja disponível.
Evite executar código não confiável em implantações Java que dependam da sandbox do Java para segurança.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centos
Ibm Aix
Java Platform
Java Se
Java Se Embedded
Linuxmint
Red Hat
Suse
Ubuntu