PT-2022-27413 · Apache+1 · Apache Jena Tdb 2+2
Crilwa
+1
·
Publicado
2022-11-14
·
Atualizado
2024-08-03
·
CVE-2022-45136
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache Jena SDB versões 3.17.0 e anteriores
Descrição
A vulnerabilidade permite um ataque de deserialização JDBC se o invasor conseguir controlar a URL JDBC utilizada ou fazer com que o servidor de banco de dados subjacente retorne dados maliciosos. Sabe-se que o driver JDBC do MySQL é vulnerável a esse tipo de ataque. Como resultado, um aplicativo que utilize o Apache Jena SDB pode estar sujeito a RCE (Execução Remota de Código) quando conectado a um servidor de banco de dados malicioso. O Apache Jena SDB está em EOL (Fim de Vida) desde dezembro de 2020.
Recomendações
Para resolver o problema, os usuários devem migrar para opções alternativas, como o Apache Jena TDB 2.
Como solução temporária, considere restringir o acesso à URL JDBC vulnerável até que um patch esteja disponível.
Evite usar o driver JDBC do MySQL no Apache Jena SDB até que o problema seja resolvido.
Migre para o Apache Jena TDB 2 para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Jena Sdb
Apache Jena Tdb 2
Mysql Jdbc Driver