CVE-2024-23683

Versões do Artemis Java Test Sandbox anteriores à 1.7.6

A vulnerabilidade permite que um invasor crie subclasses especiais de InvocationTargetException que escapam da sanitização de exceções. Isso possibilita a execução de código arbitrário do aluno em um contexto confiável, permitindo que o invasor desative medidas de segurança e obtenha controle total sobre o sistema. O invasor pode explorar essa vulnerabilidade para executar código Java arbitrário quando a vítima executa o código supostamente isolado na sandbox.

Atualize para a versão 1.7.6 ou posterior.

Como solução alternativa temporária, considere proibir classes de alunos em pacotes confiáveis.

Restrinja o acesso a pacotes confiáveis como de.tum.in.test.api.security.notsealedsubpackage para minimizar o risco de exploração.

Evite usar a exceção InvocationTargetException no código afetado até que o problema seja resolvido.