PT-2021-6456 · Oracle+3 · Java Se+4

Eddie Zhu

·

Publicado

2021-07-20

·

Atualizado

2026-05-08

·

CVE-2021-2432

CVSS v2.0

4.3

Média

VetorAV:N/AC:M/Au:N/C:N/I:N/A:P
Nome do software vulnerável e versões afetadas
Java SE versão 7u301
Descrição
O problema está relacionado ao componente JNDI e pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos, podendo levar a uma negação de serviço (DOS) parcial do Java SE. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, por exemplo, através de um serviço web que forneça dados às APIs.
Recomendações
Para o Java SE versão 7u301, considere desativar o componente JNDI ou restringir seu uso até que um patch esteja disponível. Como solução alternativa temporária, evite usar APIs no componente JNDI que possam estar vulneráveis à exploração. Restrinja o acesso a serviços web que forneçam dados às APIs JNDI para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Improper Resource Release

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404

Identificadores relacionados

BDU:2022-01672
BIT-JAVA-2021-2432
BIT-JAVA-MIN-2021-2432
BIT-JRE-2021-2432
CVE-2021-2432
RHSA-2021:3293
RHSA-2021_3293
ROSA-SA-2023-2314
SUSE-SU-2021:3007-1
SUSE-SU-2022:0166-1
SUSE-SU-2022:14875-1
SUSE-SU-2022:14876-1

Produtos afetados

Ibm Aix
Java Platform
Java Se
Red Hat
Suse