PT-2022-4605 · Apache · Apache Geode
Kirk Lund
·
Publicado
2022-08-31
·
Atualizado
2022-09-06
·
CVE-2022-37023
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Geode anteriores à 1.15.0
Descrição
O problema está relacionado à restauração de dados não confiáveis na memória por meio da interface REST API da plataforma de gerenciamento de dados Apache Geode. Isso pode permitir que um invasor remoto execute código arbitrário. A vulnerabilidade está associada à desserialização de dados não confiáveis ao usar a REST API no Java 8 ou Java 11.
Recomendações
Para se proteger contra ataques de deserialização envolvendo APIs REST, atualize para o Apache Geode 1.15.0 e siga a documentação para obter detalhes sobre como habilitar
validate-serializable-objects=true e especificar quaisquer classes de usuário que possam ser serializadas/deserializadas com serializable-object-filter. Observe que habilitar validate-serializable-objects pode afetar o desempenho.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Geode