PT-2021-7977 · Oracle+4 · Java+4

R00T4Dm

·

Publicado

2021-02-08

·

Atualizado

2026-05-18

·

CVE-2022-24823

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
io.netty:netty-codec-http versões anteriores à 4.1.77.Final
Descrição
O problema está relacionado a uma correção insuficiente para uma vulnerabilidade nos decodificadores multipart do Netty, o que pode levar à divulgação de informações locais por meio do diretório temporário do sistema local, caso o armazenamento temporário de uploads no disco esteja habilitado. Isso afeta aplicativos em execução na versão 6 do Java e versões anteriores, bem como código em execução em sistemas do tipo Unix e versões muito antigas do Mac OSX e do Windows, uma vez que compartilham o diretório temporário do sistema entre todos os usuários.
Recomendações
Para versões anteriores à 4.1.77.Final, atualize para a versão 4.1.77.Final para corrigir a vulnerabilidade.
Como solução alternativa, especifique seu próprio java.io.tmpdir ao iniciar a JVM ou use DefaultHttpDataFactory.setBaseDir(...) para definir o diretório para um local que seja legível apenas pelo usuário atual.
Como alternativa, atualize para o Java 7 ou superior para mitigar o problema.

Exploit

Correção

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-378CWE-379CWE-668

Identificadores relacionados

BDU:2023-08651
CLEANSTART-2026-DD05788
CLEANSTART-2026-GH89210
CLEANSTART-2026-KU61465
CLEANSTART-2026-LE11246
CLEANSTART-2026-RN56220
CLEANSTART-2026-VH41554
CVE-2022-24823
GHSA-269Q-HMXG-M83Q
GHSA-5MCR-GQ6C-3HQ2
OESA-2025-2149
OESA-2025-2150
OESA-2025-2151
OESA-2025-2152
OESA-2025-2153
OESA-2025-2286
OPENSUSE-SU-2024:14442-1
RHSA-2022:5892
RHSA-2022:5893
RHSA-2022:5894
SUSE-SU-2023:2096-1
SUSE-SU-2023:2096-2
SUSE-SU-2023_2096-1
SUSE-SU-2023_2096-2
USN-7284-1

Produtos afetados

Debian
Java
Linuxmint
Suse
Ubuntu