PT-2022-6863 · Oracle+9 · Oracle Java Se+11

Kn32

·

Publicado

2022-10-18

·

Atualizado

2026-05-08

·

CVE-2022-21624

CVSS v3.1

3.7

Baixa

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Oracle Java SE versões 8u341, 8u345-perf, 11.0.16.1, 17.0.4.1, 19
Oracle GraalVM Enterprise Edition versões 20.3.7, 21.3.3, 22.2.0
Descrição
A vulnerabilidade permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Oracle Java SE e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. Esta vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada usando APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs.
Recomendações
Para as versões 8u341, 8u345-perf, 11.0.16.1, 17.0.4.1 e 19 do Oracle Java SE, considere desativar o componente JNDI até que um patch esteja disponível.
Para as versões 20.3.7, 21.3.3 e 22.2.0 do Oracle GraalVM Enterprise Edition, restrinja o acesso ao componente JNDI para minimizar o risco de exploração.
Como solução alternativa temporária, considere evitar o uso de APIs no componente especificado até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Use of Insufficiently Random Values

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-330CWE-20

Identificadores relacionados

ALSA-2022:6999
ALSA-2022:7000
ALSA-2022:7006
ALSA-2022:7007
ALSA-2022:7012
ALSA-2022:7013
ALT-PU-2022-7669
ALT-PU-2022-7670
ALT-PU-2022-7671
ALT-PU-2022-7672
ALT-PU-2023-8449
ALT-PU-2023-8454
ALT-PU-2023-8460
ALT-PU-2025-6317
BDU:2023-05202
BIT-JAVA-2022-21624
BIT-JAVA-MIN-2022-21624
BIT-JRE-2022-21624
CESA-2022_7000
CESA-2022_7002
CESA-2022_7006
CESA-2022_7008
CESA-2022_7012
CESA-2023_0128
CVE-2022-21624
DLA-3307-1
DSA-5331-1
DSA-5335-1
MGASA-2022-0435
OESA-2022-2150
OESA-2022-2152
OESA-2022-2154
OESA-2022-2155
OPENSUSE-SU-2022_4078-1
OPENSUSE-SU-2022_4079-1
OPENSUSE-SU-2022_4166-1
OPENSUSE-SU-2022_4250-1
OPENSUSE-SU-2022_4452-1
OPENSUSE-SU-2024:12431-1
OPENSUSE-SU-2024:12432-1
OPENSUSE-SU-2024:12441-1
OPENSUSE-SU-2024:12442-1
OPENSUSE-SU-2024:12465-1
OPENSUSE-SU-2024:12526-1
OPENSUSE-SU-2024:12546-1
OPENSUSE-SU-2025:0066-1
OPENSUSE-SU-2025:0067-1
RHSA-2022:6999
RHSA-2022:7000
RHSA-2022:7001
RHSA-2022:7002
RHSA-2022:7003
RHSA-2022:7004
RHSA-2022:7005
RHSA-2022:7006
RHSA-2022:7007
RHSA-2022:7008
RHSA-2022:7009
RHSA-2022:7010
RHSA-2022:7011
RHSA-2022:7012
RHSA-2022:7013
RHSA-2022:8880
RHSA-2022_6999
RHSA-2022_7000
RHSA-2022_7002
RHSA-2022_7006
RHSA-2022_7007
RHSA-2022_7008
RHSA-2022_7012
RHSA-2022_7013
RHSA-2022_8880
RHSA-2023:0128
RHSA-2023_0128
RLSA-2022:6999
RLSA-2022:7000
RLSA-2022:7006
RLSA-2022:7007
RLSA-2022:7012
RLSA-2022:7013
ROSA-SA-2023-2151
SUSE-SU-2022:4078-1
SUSE-SU-2022:4079-1
SUSE-SU-2022:4080-1
SUSE-SU-2022:4166-1
SUSE-SU-2022:4250-1
SUSE-SU-2022:4290-1
SUSE-SU-2022:4373-1
SUSE-SU-2022:4452-1
USN-5719-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Java Platform
Linuxmint
Oracle Graalvm Enterprise Edition
Oracle Java Se
Red Hat
Rocky Linux
Suse
Ubuntu