CVE-2021-32647

Emissary (versões afetadas não especificadas)

A vulnerabilidade afeta o Emissary, um mecanismo de fluxo de trabalho orientado a dados baseado em P2P, permitindo a execução remota de código (RCE) após a autenticação. O endpoint REST “CreatePlace” está vulnerável, aceitando um parâmetro sppClassName para carregar uma classe arbitrária, que pode ser instanciada com uma assinatura de construtor específica. Um invasor pode encontrar uma classe de gadget no classpath do aplicativo para conseguir RCE, interromper o aplicativo, travá-lo ou vazar dados confidenciais.

Como solução temporária, considere desativar o acesso de rede ao Emissary a partir de fontes não confiáveis.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.