PT-2021-9432 · Apache+5 · Apache Batik+5

Publicado

2021-02-24

·

Atualizado

2025-07-20

·

CVE-2020-11987

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Nome do software vulnerável e versões afetadas
Apache Batik versão 1.13
Descrição
O problema é causado por uma validação inadequada de entradas pelo NodePickerPanel, permitindo que um invasor explore a vulnerabilidade e faça com que o servidor subjacente envie solicitações GET arbitrárias. Isso pode ser feito utilizando um argumento especialmente criado.
Recomendações
Para o Apache Batik versão 1.13, considere desativar a funcionalidade do NodePickerPanel até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente vulnerável para minimizar o risco de solicitações GET arbitrárias serem feitas pelo servidor subjacente.

Exploit

Correção

RCE

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-918

Identificadores relacionados

CVE-2020-11987
DLA-3619-1
DLA-4243-1
GHSA-2H63-QP69-FWVW
MGASA-2021-0139
MGASA-2021-0168
OESA-2021-1134
OPENSUSE-SU-2024:12402-1
SUSE-SU-2024:0777-1
USN-6117-1

Produtos afetados

Apache Batik
Astra Linux
Debian
Linuxmint
Suse
Ubuntu