CVE-2022-24289

Apache Cayenne versões 4.1 e anteriores

A serialização Hessian é um protocolo de rede que suporta a transmissão baseada em objetos. O recurso opcional de Persistência Remota de Objetos (ROP) do Apache Cayenne é uma tecnologia baseada em serviços web que fornece persistência de objetos e funcionalidades de consulta a aplicativos “remotos”. No Apache Cayenne, executado em versões de patch não atualizadas do Java, um invasor com acesso de cliente ao Cayenne ROP pode transmitir uma carga maliciosa para qualquer dependência de terceiros vulnerável no servidor. Isso pode resultar na execução de código arbitrário.

Para as versões 4.1 e anteriores do Apache Cayenne, atualize para uma versão que utilize versões atualizadas do Java para impedir a transmissão de cargas maliciosas. Como solução temporária, considere restringir o acesso ao recurso Cayenne ROP até que um patch esteja disponível. Além disso, restrinja o acesso a dependências de terceiros vulneráveis no servidor para minimizar o risco de exploração.