CVE-2021-41037

Eclipse p2 (versões afetadas não especificadas)

O problema diz respeito às unidades instaláveis do Eclipse p2, que podem alterar a instalação da Plataforma Eclipse e a máquina local por meio de pontos de contato durante a instalação. Esses pontos de contato podem modificar a linha de comando usada para iniciar o aplicativo, injetando configurações que requerem atenção especial em termos de segurança. Embora o Eclipse p2 possua estratégias integradas para garantir que os artefatos sejam assinados, não existe tal estratégia para a parte de metadados que configura os pontos de contato. Como resultado, é possível instalar uma unidade que executará código malicioso durante a instalação sem que o usuário receba qualquer aviso de que essa etapa de instalação é arriscada por vir de uma fonte não confiável.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.