PT-2021-7886 · Oracle+10 · Java Se+12
Chuck Hunley
·
Publicado
2021-10-19
·
Atualizado
2026-05-08
·
CVE-2021-35567
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 8u301, 11.0.12 e 17 do Java SE
Versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition
Descrição
O problema está relacionado a uma vulnerabilidade no componente Libraries do Oracle Java SE e do Oracle GraalVM Enterprise Edition, que pode ser explorada por um invasor com privilégios limitados que tenha acesso à rede via Kerberos. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado.
Recomendações
Para as versões 8u301, 11.0.12 e 17 do Java SE, considere desativar o uso do Kerberos para acesso à rede até que um patch esteja disponível.
Para as versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition, restrinja o acesso ao componente Libraries para minimizar o risco de exploração.
Como solução alternativa temporária, considere desativar o uso de APIs no componente especificado até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
RCE
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Graalvm Enterprise Edition
Java Platform
Java Se
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu