PT-2021-6076 · Oracle+7 · Jdk+7
Publicado
2021-08-23
·
Atualizado
2024-06-15
·
CVE-2021-39139
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
O problema está relacionado ao mecanismo de desserialização do XStream, uma biblioteca usada para serializar objetos em XML e vice-versa. Isso pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Um usuário só será afetado se estiver usando a versão padrão com o JDK 1.7u21 ou inferior. No entanto, esse cenário pode ser facilmente adaptado para um Xalan externo que funcione independentemente da versão do Java Runtime. Nenhum usuário que tenha seguido a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários será afetado.
Recomendações
Para versões anteriores à 1.4.18, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para mitigar o risco.
Como solução temporária, considere desativar o uso do XStream com o JDK 1.7u21 ou inferior até que um patch esteja disponível.
Restrinja o acesso ao Xalan externo para minimizar o risco de exploração.
Atualize para a versão 1.4.18 ou posterior, que usa uma lista de permissões por padrão e é mais segura para uso geral.
Exploit
Correção
Deserialization of Untrusted Data
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Jdk
Linuxmint
Red Hat
Suse
Ubuntu
Xalan