CVE-2020-5413

**Nome do software vulnerável e versões afetadas:

Framework Spring Integration (versões afetadas não especificadas)

Descrição:

O problema está relacionado às implementações do Kryo Codec no framework Spring Integration, o que pode levar a uma exploração de deserialização quando configurado com as opções padrão. Isso permite que um invasor execute código malicioso durante a deserialização, caso os dados fornecidos contenham tal código. O problema decorre da resolução de classes não registradas sob demanda. Para se proteger contra isso, recomenda-se configurar o Kryo para exigir um conjunto de classes confiáveis para a deserialização. A vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário.

Recomendações:

Para todas as versões afetadas da estrutura Spring Integration, configure o Kryo para usar um conjunto de classes confiáveis para a deserialização, a fim de impedir a execução de código malicioso.

Como solução alternativa temporária, considere restringir o uso das implementações do Kryo Codec até que uma configuração mais segura possa ser aplicada.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.