PT-2022-1573 · Apache · Apache Shenyu
Zhang Yonglun
·
Publicado
2022-01-25
·
Atualizado
2022-01-28
·
CVE-2021-45029
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache ShenYu, versões 2.4.0 a 2.4.1
Descrição
O problema está relacionado a um gerenciamento incorreto da geração de código, o que pode ser explorado para executar código arbitrário por meio da injeção de código Groovy ou da injeção SpEL, levando à execução remota de código. Isso pode ser feito por um invasor remoto.
Recomendações
Para as versões 2.4.0 e 2.4.1 do Apache ShenYu, considere desativar as funcionalidades de injeção de código Groovy e injeção SpEL até que um patch esteja disponível.
Restrinja o acesso aos componentes afetados para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Shenyu