PT-2020-5507 · Apache+1 · Apache Groovy+1

Publicado

2020-12-07

·

Atualizado

2024-06-15

·

CVE-2020-17521

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache Groovy 2.0 a 2.4.20
Versões do Apache Groovy 2.5.0 a 2.5.13
Versões do Apache Groovy 3.0.0 a 3.0.6
Apache Groovy versão 4.0.0-alpha-1
Descrição
O problema está relacionado à criação de diretórios temporários no Apache Groovy, onde a implementação utiliza uma chamada de método Java JDK obsoleta que pode não ser segura em alguns contextos. Isso poderia permitir que um invasor divulgasse informações protegidas. Os usuários que não utilizam os métodos de extensão afetados não são afetados.
Recomendações
Para as versões 2.0 a 2.4.20 do Apache Groovy, atualize para a versão 2.4.21 ou posterior.
Para as versões 2.5.0 a 2.5.13 do Apache Groovy, atualize para a versão 2.5.14 ou posterior.
Para as versões 3.0.0 a 3.0.6 do Apache Groovy, atualize para a versão 3.0.7 ou posterior.
Para a versão 4.0.0-alpha-1 do Apache Groovy, atualize para a versão 4.0.0-alpha-2 ou posterior.

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-379CWE-276

Identificadores relacionados

BDU:2021-00960
CVE-2020-17521
GHSA-RCJJ-H6GH-JF3R
OPENSUSE-SU-2020:2367-1
OPENSUSE-SU-2020_2367-1
OPENSUSE-SU-2024:10823-1
SUSE-SU-2020:3917-1
SUSE-SU-2020_3917-1

Produtos afetados

Apache Groovy
Suse