PT-2020-3598 · Oracle+6 · Java Se Embedded+8
Johannes Kuhn
·
Publicado
2020-07-14
·
Atualizado
2026-05-08
·
CVE-2020-14556
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 8u251, 11.0.7 e 14.0.1 do Java SE
Versão 8u251 do Java SE Embedded
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Libraries do Oracle Java SE e do Java SE Embedded. Isso permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Java SE e o Java SE Embedded. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis pelo Java SE e Java SE Embedded, bem como acesso não autorizado para leitura de um subconjunto desses dados. Essa vulnerabilidade pode ser explorada por meio de aplicativos Java Web Start em sandbox, applets Java em sandbox ou fornecendo dados a APIs no componente especificado sem usar aplicativos ou applets em sandbox.
Recomendações
Para as versões 8u251, 11.0.7 e 14.0.1 do Java SE, atualize para uma versão que contenha a correção para este problema.
Para a versão 8u251 do Java SE Embedded, atualize para uma versão que contenha a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Libraries até que um patch esteja disponível.
Evite usar as APIs vulneráveis no componente especificado até que o problema seja resolvido.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centos
Ibm Aix
Java Platform
Java Se
Java Se Embedded
Linuxmint
Red Hat
Suse
Ubuntu