PT-2021-9464 · Jinjava · Jinjava

Alvaro Muñoz

Publicado

2021-02-19

Atualizado

2022-02-09

CVE-2020-12668

CVSS v2.0

6.8

Média

Vetor

AV:N/AC:L/Au:S/C:C/I:N/A:N

Nome do software vulnerável e versões afetadas

Versões do Jinjava anteriores à 2.5.4

Descrição

A vulnerabilidade permite o acesso a classes arbitrárias por meio da chamada de métodos Java em objetos passados para um contexto do Jinjava. Isso pode levar ao uso indevido do carregador de classes da aplicação, incluindo a divulgação arbitrária de arquivos.

Recomendações

Para versões anteriores à 2.5.4, atualize para a versão 2.5.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a classes e objetos confidenciais passados para o contexto do Jinjava, a fim de minimizar o risco de exploração.

Exploit

Correção

Information Disclosure

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-863

Identificadores relacionados

CVE-2020-12668

GHSA-2HJR-FG6C-V2H6

Produtos afetados

Jinjava

PT-2021-9464 · Jinjava · Jinjava

CVE-2020-12668

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9