PT-2022-21208 · Apache · Apache Uima
Huangzhicong
·
Publicado
2022-11-03
·
Atualizado
2023-05-22
·
CVE-2022-32287
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache UIMA anteriores à 3.3.0
Descrição
Uma vulnerabilidade de traversal de caminho relativo na classe FileUtil, utilizada pelo componente de gerenciamento PEAR do Apache UIMA, permite que um invasor crie arquivos fora do diretório de destino designado usando nomes de entradas ZIP cuidadosamente criados. Arquivos PEAR nunca devem ser instalados em uma instalação do UIMA a partir de fontes não confiáveis, pois os arquivos PEAR são plug-ins executáveis capazes de realizar quaisquer ações com os mesmos privilégios da Máquina Virtual Java do host.
Recomendações
Para versões anteriores à 3.3.0, considere restringir a instalação de arquivos PEAR provenientes de fontes não confiáveis para minimizar o risco de exploração. Como solução temporária, valide cuidadosamente os nomes das entradas ZIP nos arquivos PEAR antes da instalação.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Uima