PT-2021-7916 · Eclipse · Eclipse Jersey

Publicado

2021-04-22

·

Atualizado

2024-01-12

·

CVE-2021-28168

CVSS v3.1

6.2

Média

VetorAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Eclipse Jersey, versões 2.28 a 2.33
Eclipse Jersey, versões 3.0.0 a 3.0.1
Descrição
O problema está relacionado à criação de arquivos temporários com permissões inseguras, o que pode permitir que um invasor divulgue informações protegidas. Isso se deve ao uso do método File.createTempFile, que cria um arquivo no diretório temporário do sistema com permissões que permitem que todos os usuários locais visualizem o conteúdo do arquivo. Se informações confidenciais forem gravadas nesse arquivo, elas poderão ser divulgadas a outros usuários locais.
Recomendações
Para as versões 2.28 a 2.33 do Eclipse Jersey, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Para as versões 3.0.0 a 3.0.1 do Eclipse Jersey, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Como solução temporária, considere restringir o acesso ao diretório temporário onde os arquivos são criados para minimizar o risco de exploração.

Exploit

Correção

Incorrect Permission

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-379CWE-378CWE-732CWE-668

Identificadores relacionados

BDU:2023-05326
CVE-2021-28168
GHSA-C43Q-5HPJ-4CRV
OESA-2021-1181
OESA-2024-1036
OESA-2024-1037
OESA-2024-1038
OESA-2024-1039

Produtos afetados

Eclipse Jersey