PT-2022-2130 · Oracle+11 · Java Se+13

Fabian Meumertzheim

Publicado

2022-01-18

Atualizado

2026-05-08

CVE-2022-21360

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Nome do software vulnerável e versões afetadas

Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1

Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0

Descrição

O problema está relacionado à validação insuficiente de entradas no componente ImageIO, permitindo que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Oracle Java SE e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar em uma negação parcial de serviço. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, como por meio de um serviço web que forneça dados às APIs.

Recomendações

Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.

Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso ao componente ImageIO até que um patch esteja disponível.

Evite usar APIs no componente especificado que forneçam dados de fontes não confiáveis até que o problema seja resolvido.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALSA-2022:0161

ALSA-2022:0185

ALSA-2022:0307

ALT-PU-2022-7652

ALT-PU-2022-7653

ALT-PU-2022-7654

ALT-PU-2022-7655

BDU:2022-02005

BIT-JAVA-2022-21360

BIT-JAVA-MIN-2022-21360

BIT-JRE-2022-21360

CESA-2022_0161

CESA-2022_0185

CESA-2022_0204

CESA-2022_0306

CESA-2022_0307

CESA-2022_0970

CVE-2022-21360

DLA-2917-1

DSA-5057-1

DSA-5058-1

OESA-2022-1696

OESA-2022-1702

OESA-2022-1813

OPENSUSE-SU-2022:0816-1

OPENSUSE-SU-2022:0870-1

OPENSUSE-SU-2022:0873-1

OPENSUSE-SU-2022:1027-1

OPENSUSE-SU-2022_0816-1

OPENSUSE-SU-2022_0870-1

OPENSUSE-SU-2022_0873-1

OPENSUSE-SU-2022_1027-1

OPENSUSE-SU-2024:11798-1

OPENSUSE-SU-2024:11799-1

OPENSUSE-SU-2024:11800-1

OPENSUSE-SU-2024:11810-1

OPENSUSE-SU-2024:11895-1

RHSA-2022:0161

RHSA-2022:0185

RHSA-2022:0204

RHSA-2022:0209

RHSA-2022:0211

RHSA-2022:0233

RHSA-2022:0304

RHSA-2022:0305

RHSA-2022:0306

RHSA-2022:0307

RHSA-2022:0312

RHSA-2022:0968

RHSA-2022:0969

RHSA-2022:0970

RHSA-2022_0161

RHSA-2022_0185

RHSA-2022_0204

RHSA-2022_0306

RHSA-2022_0307

RHSA-2022_0968

RHSA-2022_0969

RHSA-2022_0970

RLSA-2022:0161

RLSA-2022:0185

RLSA-2022:0307

ROSA-SA-2023-2136

SUSE-SU-2022:0730-1

SUSE-SU-2022:0816-1

SUSE-SU-2022:0871-1

SUSE-SU-2022:0873-1

SUSE-SU-2022:1025-1

SUSE-SU-2022:1026-1

SUSE-SU-2022:1027-1

SUSE-SU-2022:14926-1

SUSE-SU-2022:14927-1

SUSE-SU-2022_14927-1

USN-5313-1

USN-5313-2

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Graalvm Enterprise Edition

Ibm Aix

Java Platform

Java Se

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2022-2130 · Oracle+11 · Java Se+13

CVE-2022-21360

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 208