PT-2022-3119 · Oracle+11 · Graalvm Enterprise Edition+13

Anthony Weems

Publicado

2022-04-19

Atualizado

2025-02-18

CVE-2022-21496

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Nome do software vulnerável e versões afetadas

Oracle Java SE versões 7u331, 8u321, 11.0.14, 17.0.2, 18

Oracle GraalVM Enterprise Edition versões 20.3.5, 21.3.1, 22.0.0.2

Descrição

O problema está relacionado à validação insuficiente de entradas no componente JNDI do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Isso permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema, resultando em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado.

Recomendações

Para as versões 7u331, 8u321, 11.0.14, 17.0.2 e 18 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.

Para as versões 20.3.5, 21.3.1 e 22.0.0.2 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso ao componente JNDI até que um patch esteja disponível.

Evite usar APIs no componente especificado que forneçam dados a fontes não confiáveis até que o problema seja resolvido.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALSA-2022:1442

ALSA-2022:1445

ALSA-2022:1491

ALT-PU-2022-7656

ALT-PU-2022-7657

ALT-PU-2022-7658

ALT-PU-2022-7661

ALT-PU-2022-7662

ALT-PU-2022-7663

BDU:2022-03794

CESA-2022_1440

CESA-2022_1442

CESA-2022_1445

CESA-2022_1487

CESA-2022_1491

CESA-2022_5837

CVE-2022-21496

DLA-3006-1

DSA-5128-1

DSA-5131-1

MGASA-2022-0261

OESA-2022-1702

OESA-2022-1815

OPENSUSE-SU-2022_1513-1

OPENSUSE-SU-2022_2530-1

OPENSUSE-SU-2022_2650-1

OPENSUSE-SU-2022_3092-1

OPENSUSE-SU-2024:12013-1

OPENSUSE-SU-2024:12014-1

OPENSUSE-SU-2024:12015-1

OPENSUSE-SU-2024:12018-1

OPENSUSE-SU-2024:12019-1

OPENSUSE-SU-2024:12163-1

OPENSUSE-SU-2024:12185-1

OPENSUSE-SU-2024:12186-1

OPENSUSE-SU-2025:0066-1

RHSA-2022:1440

RHSA-2022:1441

RHSA-2022:1442

RHSA-2022:1443

RHSA-2022:1444

RHSA-2022:1445

RHSA-2022:1487

RHSA-2022:1488

RHSA-2022:1489

RHSA-2022:1490

RHSA-2022:1491

RHSA-2022:1728

RHSA-2022:1729

RHSA-2022:2137

RHSA-2022:4957

RHSA-2022:4959

RHSA-2022:5837

RHSA-2022_1440

RHSA-2022_1442

RHSA-2022_1445

RHSA-2022_1487

RHSA-2022_1491

RHSA-2022_1728

RHSA-2022_1729

RHSA-2022_2137

RHSA-2022_4957

RHSA-2022_4959

RHSA-2022_5837

RLSA-2022:1442

RLSA-2022:1445

RLSA-2022:1491

ROSA-SA-2023-2136

SUSE-SU-2022:1474-1

SUSE-SU-2022:1513-1

SUSE-SU-2022:2530-1

SUSE-SU-2022:2531-1

SUSE-SU-2022:2539-1

SUSE-SU-2022:2540-1

SUSE-SU-2022:2650-1

SUSE-SU-2022:3092-1

SUSE-SU-2022_1513-1

USN-5388-1

USN-5388-2

USN-5546-1

USN-5546-2

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Graalvm Enterprise Edition

Ibm Aix

Java Platform

Java Se

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2022-3119 · Oracle+11 · Graalvm Enterprise Edition+13

CVE-2022-21496

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 304