CVE-2021-20328

**Nome do software vulnerável e versões afetadas:

Versões do driver Java que suportam criptografia no nível do campo no lado do cliente (CSFLE)

Descrição:

O problema decorre da falha do driver Java em realizar a verificação correta do nome do host no certificado do servidor KMS, o que, em combinação com um ataque MITM ativo a partir de uma posição privilegiada na rede, poderia resultar na interceptação do tráfego entre o driver Java e o serviço KMS. Isso torna a criptografia no nível do campo ineficaz. Os drivers Java async, Scala e reactive streams não são afetados. Além disso, este problema não afeta cargas de tráfego de drivers com serviços de chave compatíveis com CSFLE originados de aplicativos dentro das estruturas de rede AWS, GCP e Azure, devido aos controles existentes nesses ambientes. Ele também não afeta cargas de trabalho de drivers que não utilizam a criptografia em nível de campo.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.