PT-2020-9626 · Unknown+1 · Hibernate Orm+1

Publicado

2020-07-06

·

Atualizado

2022-04-29

·

CVE-2019-14900

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Hibernate ORM anteriores à 5.3.18
Versões do Hibernate ORM anteriores à 5.4.18
Versões do Hibernate ORM anteriores à 5.5.0.Beta1
Descrição
Foi encontrada uma falha na implementação da API JPA Criteria, permitindo literais não sanitizados quando um literal é usado nas partes SELECT ou GROUP BY da consulta. Isso poderia permitir que um invasor acessasse informações não autorizadas ou, possivelmente, realizasse outros ataques.
Recomendações
Para versões anteriores à 5.3.18, atualize para a versão 5.3.18 ou posterior.
Para versões anteriores à 5.4.18, atualize para a versão 5.4.18 ou posterior.
Para versões anteriores à 5.5.0.Beta1, atualize para a versão 5.5.0.Beta1 ou posterior.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2019-14900
GHSA-8GRG-Q944-CCH5
OESA-2021-1135
OESA-2021-1136
OESA-2021-1137
RHSA-2020:3461
RHSA-2020:3462
RHSA-2020:3463
RHSA-2020:3637
RHSA-2020:3638
RHSA-2020:3639
SUSE-SU-2020:2650-1
SUSE-SU-2020:2832-1

Produtos afetados

Hibernate Orm
Suse