PT-2021-6661 · Oracle+11 · Java Se+13

Markus Loewe

Publicado

2021-11-15

Atualizado

2026-05-08

CVE-2022-21293

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Nome do software vulnerável e versões afetadas

Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1

Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0

Descrição

O problema está relacionado à validação insuficiente de entradas no componente Libraries do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Isso permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema, resultando em uma negação parcial de serviço. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado.

Recomendações

Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.

Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso ao componente Libraries vulnerável até que um patch esteja disponível.

Evite usar APIs no componente especificado que forneçam dados a fontes não confiáveis até que o problema seja resolvido.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALSA-2022:0161

ALSA-2022:0185

ALSA-2022:0307

ALT-PU-2022-7652

ALT-PU-2022-7653

ALT-PU-2022-7654

ALT-PU-2022-7655

BDU:2022-01986

BIT-JAVA-2022-21293

BIT-JAVA-MIN-2022-21293

BIT-JRE-2022-21293

CESA-2022_0161

CESA-2022_0185

CESA-2022_0204

CESA-2022_0306

CESA-2022_0307

CESA-2022_0970

CVE-2022-21293

DLA-2917-1

DSA-5057-1

DSA-5058-1

OESA-2022-1696

OESA-2022-1702

OESA-2022-1813

OPENSUSE-SU-2022:0816-1

OPENSUSE-SU-2022:0870-1

OPENSUSE-SU-2022:0873-1

OPENSUSE-SU-2022:1027-1

OPENSUSE-SU-2022_0816-1

OPENSUSE-SU-2022_0870-1

OPENSUSE-SU-2022_0873-1

OPENSUSE-SU-2022_1027-1

OPENSUSE-SU-2024:11798-1

OPENSUSE-SU-2024:11799-1

OPENSUSE-SU-2024:11800-1

OPENSUSE-SU-2024:11810-1

OPENSUSE-SU-2024:11895-1

OPENSUSE-SU-2024:11896-1

RHSA-2022:0161

RHSA-2022:0185

RHSA-2022:0204

RHSA-2022:0209

RHSA-2022:0211

RHSA-2022:0233

RHSA-2022:0304

RHSA-2022:0305

RHSA-2022:0306

RHSA-2022:0307

RHSA-2022:0312

RHSA-2022:0968

RHSA-2022:0969

RHSA-2022:0970

RHSA-2022_0161

RHSA-2022_0185

RHSA-2022_0204

RHSA-2022_0306

RHSA-2022_0307

RHSA-2022_0968

RHSA-2022_0969

RHSA-2022_0970

RLSA-2022:0161

RLSA-2022:0185

RLSA-2022:0307

ROSA-SA-2023-2136

ROSA-SA-2023-2312

SUSE-SU-2022:0730-1

SUSE-SU-2022:0816-1

SUSE-SU-2022:0871-1

SUSE-SU-2022:0873-1

SUSE-SU-2022:1025-1

SUSE-SU-2022:1026-1

SUSE-SU-2022:1027-1

SUSE-SU-2022:14926-1

SUSE-SU-2022:14927-1

SUSE-SU-2022_14927-1

USN-5313-1

USN-5313-2

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Graalvm Enterprise Edition

Ibm Aix

Java Platform

Java Se

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2021-6661 · Oracle+11 · Java Se+13

CVE-2022-21293

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 226