PT-2022-6144 · Scala+1 · Scala+1
Marc Bohler
·
Publicado
2022-09-23
·
Atualizado
2023-10-22
·
CVE-2022-36944
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Scala 2.13.x anteriores à 2.13.9
Descrição
O problema está relacionado a erros na desserialização de dados. Isso pode permitir que um invasor remoto execute código arbitrário, apague o conteúdo de arquivos arbitrários ou estabeleça conexões de rede por meio de uma cadeia de gadgets, explorando especificamente as funções
Function0. Esse risco existe quando ocorre a desserialização de objetos Java ou de objetos LazyList dentro de um aplicativo.Recomendações
Para as versões 2.13.x do Scala anteriores à 2.13.9, atualize para a versão 2.13.9 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da deserialização de objetos Java e da deserialização de objetos
LazyList dentro das aplicações para minimizar o risco de exploração.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Scala