CVE-2021-29485

**Nome do software vulnerável e versões afetadas:

Versões do Ratpack anteriores à 1.9.0

Descrição:

Um invasor mal-intencionado pode conseguir a execução remota de código (RCE) por meio de uma cadeia de dispositivos de desserialização Java criada de forma maliciosa e direcionada contra o armazenamento de sessões do Ratpack. Esse problema é conhecido como uma vulnerabilidade de “desserialização insegura”. Invasores com capacidade de gravar nos dados de sessão podem potencialmente criar cargas que deserializam objetos inseguros, levando à capacidade de executar remotamente código arbitrário. O mecanismo de sessão do Ratpack permite armazenar objetos serializados de tipos arbitrários e, por padrão, utiliza o mecanismo de serialização integrado do Java. Para mitigar essa vulnerabilidade, o Ratpack agora emprega uma “lista de permissão restrita” ao deserializar (e serializar) objetos para os dados de sessão.

Recomendações:

Para versões anteriores à 1.9.0, a mitigação mais simples é reduzir a probabilidade de invasores conseguirem gravar no armazenamento de dados de sessão.

Alternativamente ou adicionalmente, o mecanismo de lista de permissões poderia ser portado manualmente, fornecendo uma implementação alternativa de SessionSerializer que utilize uma lista de permissões.

Para a versão 1.9.0 e posteriores, os usuários do mecanismo de serialização integrado precisarão alterar seus aplicativos para declarar todos os tipos atualmente sendo serializados como seguros, utilizando o novo método SessionModule.allowTypes().