PT-2021-4021 · Apache · Apache Juddi
Artem Smotrakov
·
Publicado
2021-07-29
·
Atualizado
2021-08-11
·
CVE-2021-37578
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache jUDDI anteriores à 3.3.10
Descrição
O problema está relacionado ao uso da Invocação Remota de Métodos (RMI) do Java no Apache jUDDI, que oferece um meio alternativo de acesso aos serviços UDDI. A RMI utiliza o mecanismo padrão de serialização do Java para passar parâmetros nas invocações RMI. Um invasor remoto pode enviar um objeto serializado malicioso para as entradas RMI, e os objetos são deserializados sem qualquer verificação dos dados recebidos. Isso pode permitir que o invasor execute código arbitrário remotamente. O uso do RMI está desativado por padrão tanto nos aplicativos de serviço web do jUDDI quanto nos clientes do jUDDI, e a probabilidade de impacto é baixa.
Recomendações
Para versões anteriores à 3.3.10, considere desativar o recurso RMI para minimizar o risco de exploração, já que todo o código relacionado ao RMI foi removido a partir da versão 3.3.10.
No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Juddi