PT-2022-25243 · Apache+6 · Apache Xml Graphics Batik+7

Chudypb

+1

·

Publicado

2022-09-22

·

Atualizado

2025-07-20

·

CVE-2022-40146

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Apache XML Graphics Batik versão 1.14
Confluence Data Center e Server versões 7.13.0 a 7.19.0
Descrição
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Batik do Apache XML Graphics permite que um invasor acesse arquivos usando uma URL Jar. Essa vulnerabilidade pode ser explorada por um invasor não autenticado para expor ativos no ambiente suscetíveis à exploração, o que tem um alto impacto na confidencialidade.
Recomendações
Para o Apache XML Graphics Batik versão 1.14, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Para o Confluence Data Center e Server versões 7.13.0 a 7.19.0, atualize para uma versão igual ou superior à 7.19.16.

Exploit

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

CVE-2022-40146
DLA-3619-1
DLA-4243-1
GHSA-H4QG-P7R2-CPG3
MGASA-2024-0068
OESA-2023-1651
OPENSUSE-SU-2024:12363-1
SUSE-SU-2024:0777-1
SUSE-SU-2024_0777-1
USN-6117-1
ZDI-22-1327

Produtos afetados

Apache Xml Graphics Batik
Astra Linux
Confluence
Debian
Jira
Linuxmint
Suse
Ubuntu