PT-2021-7895 · Oracle+11 · Java Se+13
Publicado
2021-10-19
·
Atualizado
2026-05-08
·
CVE-2021-35586
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões 7u311, 8u301, 11.0.12 e 17 do Java SE
Versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition
Descrição
A vulnerabilidade está relacionada ao componente ImageIO e permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Java SE e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar uma negação de serviço parcial (DOS parcial) do Java SE e do Oracle GraalVM Enterprise Edition. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada usando APIs no componente especificado, por exemplo, por meio de um serviço web que forneça dados às APIs.
Recomendações
Para as versões 7u311, 8u301, 11.0.12 e 17 do Java SE, considere desativar o componente ImageIO até que um patch esteja disponível.
Para as versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition, restrinja o acesso ao componente ImageIO para minimizar o risco de exploração.
Como solução alternativa temporária, considere evitar o uso de APIs no componente especificado até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Allocation of Resources Without Limits
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Graalvm Enterprise Edition
Ibm Aix
Java Platform
Java Se
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu