PT-2022-28163 · Apache · Maven Enforcer Plugin
Juliuskreutz
·
Publicado
2022-02-09
·
Atualizado
2025-11-28
·
CVE-2024-23682
CVSS v3.1
8.2
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Artemis Java Test Sandbox anteriores à 1.8.0
Descrição
A vulnerabilidade permite que um invasor escape da sandbox incluindo arquivos de classe em um pacote no qual o Ares confia, possibilitando a execução de código Java arbitrário quando a vítima executa o código que deveria estar isolado na sandbox. Isso afeta todos os usuários do Artemis que testam tarefas em Java, permitindo potencialmente que o código dos alunos execute código arbitrário no contêiner ou na máquina de um avaliador durante a correção manual.
Recomendações
Para versões do Artemis Java Test Sandbox anteriores à 1.8.0, use o plugin Maven Enforcer para rejeitar a compilação se as classes dos alunos residirem em pacotes nos quais o Ares confia. Configure o plugin da seguinte forma:
xml
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-enforcer-plugin</artifactId>
<version>3.0.0</version>
<executions>
<execution>
<id>enforce-no-student-code-in-trusted-packages</id>
<phase>process-classes</phase>
<goals>
<goal>enforce</goal>
</goals>
</execution>
</executions>
<configuration>
<rules>
<requireFilesDontExist>
<files>
<!-- ADICIONE AQUI AS REGRAS QUE O ARES INDICA QUE ESTÃO FALTANDO -->
</files>
</requireFilesDontExist>
</rules>
</configuration>
</plugin>
Adicione os pacotes confiáveis especificados pelo Ares usando
@AddTrustedPackage ao conExploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Maven Enforcer Plugin