PT-2020-6584 · Unknown+4 · Hibernate-Core+4

Publicado

2020-09-16

·

Atualizado

2025-04-23

·

CVE-2020-25638

CVSS v2.0

8.8

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do hibernate-core anteriores à 5.4.23.Final, inclusive
Descrição
Foi identificada uma falha na implementação da API JPA Criteria, que pode permitir a inclusão de literais não sanitizados quando um literal é utilizado nos comentários SQL da consulta, possibilitando que um invasor acesse informações não autorizadas ou, eventualmente, realize outros ataques. A maior ameaça decorrente desse problema é à confidencialidade e integridade dos dados.
Recomendações
Para versões anteriores à 5.4.23.Final, inclusive, atualize para uma versão posterior à 5.4.23.Final para resolver o problema. Como solução alternativa temporária, considere restringir o uso de literais nos comentários SQL para minimizar o risco de exploração.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BDU:2022-00307
CVE-2020-25638
DLA-2512-1
DSA-4908-1
GHSA-J8JW-G6FQ-MP7H
RHSA-2020:5175
RHSA-2020:5340
RHSA-2020:5341
RHSA-2020:5342
RHSA-2021:2561
RHSA-2025:9582
SUSE-SU-2022:0225-1
SUSE-SU-2022:0593-1
USN-6845-1

Produtos afetados

Astra Linux
Linuxmint
Suse
Ubuntu
Hibernate-Core