PT-2022-6746 · Google+3 · Protobuf-Java+4

Publicado

2022-09-29

·

Atualizado

2026-05-18

·

CVE-2022-3509

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do protobuf-java core e lite anteriores à 3.21.7
Versões do protobuf-java core e lite anteriores à 3.20.3
Versões do protobuf-java core e lite anteriores à 3.19.6
Versões do protobuf-java core e lite anteriores à 3.16.3
Descrição
Um problema de análise no protobuf-java core e lite pode levar a um ataque de negação de serviço. Entradas contendo múltiplas instâncias de mensagens incorporadas não repetidas com campos repetidos ou desconhecidos fazem com que os objetos sejam convertidos repetidamente entre formas mutáveis e imutáveis, resultando em pausas potencialmente longas na coleta de lixo. O problema está relacionado a erros na liberação de recursos.
Recomendações
Para versões anteriores à 3.21.7, atualize para a versão 3.21.7 ou posterior.
Para versões anteriores à 3.20.3, atualize para a versão 3.20.3 ou posterior.
Para versões anteriores à 3.19.6, atualize para a versão 3.19.6 ou posterior.
Para versões anteriores à 3.16.3, atualize para a versão 3.16.3 ou posterior.

Correção

DoS

Improper Resource Release

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-400

Identificadores relacionados

BDU:2023-03851
CLEANSTART-2026-DD05788
CLEANSTART-2026-JU62349
CLEANSTART-2026-KU61465
CLEANSTART-2026-LE11246
CLEANSTART-2026-RN56220
CLEANSTART-2026-SQ91016
CLEANSTART-2026-SV95049
CLEANSTART-2026-VH41554
CLEANSTART-2026-WK99982
CVE-2022-3509
GHSA-G5WW-5JH7-63CX

Produtos afetados

Astra Linux
Debian
Jira
Jira Service Management Server
Protobuf-Java