PT-2022-20558 · Unknown · Unsafeaccessor
Karlatemp
·
Publicado
2022-07-11
·
Atualizado
2023-07-24
·
CVE-2022-31139
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
UnsafeAccessor, versões 1.4.0 a 1.6.x
Descrição
O problema diz respeito ao UnsafeAccessor (UA), uma ponte para acessar jdk.internal.misc.Unsafe e sun.misc.Unsafe. Normalmente, quando o UA é carregado como um módulo nomeado, seus dados internos são protegidos pela JVM, e o acesso é limitado à API padrão do UA. O aplicativo principal pode configurar
SecurityCheck.AccessLimiter para o UA a fim de limitar o acesso. No entanto, nas versões afetadas, quando SecurityCheck.AccessLimiter está configurado, código não confiável pode acessar o UA sem limitação, mesmo quando o UA é carregado como um módulo nomeado. Este problema não afeta aqueles para os quais SecurityCheck.AccessLimiter não está configurado.Recomendações
Para as versões 1.4.0 a 1.6.x, atualize para a versão 1.7.0 para resolver o problema.
Como solução alternativa temporária, considere não configurar
SecurityCheck.AccessLimiter para o UA até que um patch seja aplicado.Restrinja o acesso ao UA para minimizar o risco de exploração.
Exploit
Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Unsafeaccessor