PT-2022-26099 · Hsqldb+4 · Hsqldb+4

Publicado

2022-06-10

Atualizado

2023-12-22

CVE-2022-41853

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões do hsqldb anteriores à 2.7.1

Descrição

O problema afeta aqueles que utilizam java.sql.Statement ou java.sql.PreparedStatement no hsqldb para processar entradas não confiáveis, tornando-os vulneráveis a um ataque de execução remota de código. Por padrão, é permitido chamar qualquer método estático de qualquer classe Java no classpath, resultando na execução de código.

Recomendações

Para versões anteriores à 2.7.1, atualize para a versão 2.7.1 ou defina a propriedade do sistema hsqldb.method class names com as classes que podem ser chamadas, por exemplo, usando System.setProperty(“hsqldb.method class names”, ‘abc’) ou o argumento Java -Dhsqldb.method class names=“abc”.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-470

Identificadores relacionados

BDU:2026-01710

CESA-2022_8560

CVE-2022-41853

DLA-3234-1

DSA-5313-1

GHSA-77XX-RXVH-Q682

OESA-2023-1924

OESA-2023-1944

OPENSUSE-SU-2022_3823-1

OPENSUSE-SU-2024:12450-1

RHSA-2022:8559

RHSA-2022:8560

RHSA-2022_8559

RHSA-2022_8560

RHSA-2023:1512

RHSA-2023:1513

RHSA-2023:1514

RHSA-2024:10207

RHSA-2024:10208

SUSE-SU-2022:3823-1

SUSE-SU-2022:3864-1

SUSE-SU-2022_3864-1

Produtos afetados

Astra Linux

Centos

Red Hat

Suse

Hsqldb

PT-2022-26099 · Hsqldb+4 · Hsqldb+4

CVE-2022-41853

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 32