PT-2020-5989 · Google+3 · Guava+3
Jonathan Leitschuh
·
Publicado
2020-08-27
·
Atualizado
2026-05-18
·
CVE-2020-8908
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Guava anteriores à 30.0
Versões do Guava anteriores à 32.0.0
Descrição
Existe uma vulnerabilidade na criação de diretórios temporários no Guava, permitindo que um invasor com acesso à máquina possa acessar dados em um diretório temporário criado pela API do Guava
com.google.common.io.Files.createTempDir(). Por padrão, em sistemas do tipo Unix, o diretório criado é legível por todos, deixando os arquivos expostos. O método em questão foi marcado como @Deprecated nas versões 30.0 e posteriores e não deve ser usado.Recomendações
Para versões do Guava anteriores à 30.0, atualize o Guava para a versão 30.0 ou posterior.
Para versões do Guava anteriores à 32.0.0, altere explicitamente as permissões após a criação do diretório ou remova os usos do método vulnerável.
Para desenvolvedores Android, escolha uma API de diretório temporário fornecida pelo Android, como
context.getCacheDir().Para outros desenvolvedores Java, migre para a API Java 7
java.nio.file.Files.createTempDirectory(), que configura explicitamente as permissões como 700, ou configure a propriedade de sistema java.io.tmpdir do runtime Java para apontar para um local cujas permissões estejam configuradas adequadamente.Exploit
Correção
Incorrect Permission
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Guava
Suse