PT-2021-22410 · Oracle+6 · Javafx+7

Publicado

2021-08-23

·

Atualizado

2024-06-15

·

CVE-2021-39153

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
Esta vulnerabilidade pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado, caso a versão seja utilizada em sua configuração padrão com o Java Runtime nas versões 14 a 8 ou com o JavaFX instalado. Os usuários que seguiram a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados. A vulnerabilidade está relacionada ao uso de uma lista de restrições por padrão, que não pode ser protegida para uso geral.
Recomendações
Para versões anteriores à 1.4.18, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para mitigar o risco de exploração. Como solução temporária, considere restringir o uso da biblioteca vulnerável até que um patch esteja disponível. Para a versão 1.4.18 e posteriores do XStream, nenhuma ação adicional é necessária, uma vez que ele não usa mais uma lista de restrições por padrão.

Exploit

Correção

Deserialization of Untrusted Data

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-434

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39153
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-2Q8X-2P7F-574V
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Java
Javafx
Linuxmint
Red Hat
Suse
Ubuntu