PT-2021-18261 · Microsoft · .Net Binaryformatter
Rogeralsing
·
Publicado
2021-05-11
·
Atualizado
2021-05-25
·
CVE-2021-29508
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Wire (versões afetadas não especificadas)
Fork do Wire, AkkaDotNet/Hyperion (versões afetadas não especificadas)
Descrição:
O problema decorre da forma como o Wire lida com informações de tipo em seu formato de serialização, permitindo que cargas maliciosas sejam passadas para um deserializador. Um invasor pode usar um substituto no lado do remetente para passar informações sobre um tipo diferente para o lado do destinatário, permitindo que o serializador crie qualquer tipo no lado da deserialização. Este problema é semelhante ao existente no .NET BinaryFormatter.
Recomendações:
Para o Wire, considere desativar a desserialização de dados não confiáveis até que um patch esteja disponível.
Para o fork do Wire, AkkaDotNet/Hyperion, restrinja o uso do formato de serialização a fontes confiáveis para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
.Net Binaryformatter