PT-2022-6865 · Oracle+10 · Java Se+12

Publicado

2022-10-18

Atualizado

2026-05-08

CVE-2022-21628

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Nome do software vulnerável e versões afetadas

Oracle Java SE versões 8u341, 8u345-perf, 11.0.16.1, 17.0.4.1, 19

Oracle GraalVM Enterprise Edition versões 20.3.7, 21.3.3, 22.2.0

Descrição

O problema está relacionado ao componente Lightweight HTTP Server e permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Java SE e o Oracle GraalVM Enterprise Edition, resultando em uma negação de serviço parcial. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança, normalmente em clientes que executam aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox.

Recomendações

Para as versões 8u341, 8u345-perf, 11.0.16.1, 17.0.4.1 e 19 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.

Para as versões 20.3.7, 21.3.3 e 22.2.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso ao componente Lightweight HTTP Server até que um patch esteja disponível.

Evite usar as implantações Java afetadas em ambientes onde código não confiável é executado e que dependem da sandbox do Java para segurança.

Exploit

Correção

Allocation of Resources Without Limits

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-20

Identificadores relacionados

ALSA-2022:6999

ALSA-2022:7000

ALSA-2022:7006

ALSA-2022:7007

ALSA-2022:7012

ALSA-2022:7013

ALT-PU-2022-7669

ALT-PU-2022-7670

ALT-PU-2022-7671

ALT-PU-2022-7672

ALT-PU-2023-8449

ALT-PU-2023-8454

ALT-PU-2023-8460

ALT-PU-2025-6317

BDU:2023-05213

BIT-JAVA-2022-21628

BIT-JAVA-MIN-2022-21628

BIT-JRE-2022-21628

CESA-2022_7000

CESA-2022_7002

CESA-2022_7006

CESA-2022_7008

CESA-2022_7012

CESA-2023_0128

CVE-2022-21628

DLA-3307-1

DSA-5331-1

DSA-5335-1

MGASA-2022-0435

OESA-2022-2150

OESA-2022-2151

OESA-2022-2152

OESA-2022-2154

OPENSUSE-SU-2022_4078-1

OPENSUSE-SU-2022_4079-1

OPENSUSE-SU-2022_4166-1

OPENSUSE-SU-2022_4250-1

OPENSUSE-SU-2022_4452-1

OPENSUSE-SU-2024:12431-1

OPENSUSE-SU-2024:12432-1

OPENSUSE-SU-2024:12441-1

OPENSUSE-SU-2024:12442-1

OPENSUSE-SU-2024:12463-1

OPENSUSE-SU-2024:12464-1

OPENSUSE-SU-2024:12526-1

OPENSUSE-SU-2024:12546-1

OPENSUSE-SU-2025:0066-1

OPENSUSE-SU-2025:0067-1

RHSA-2022:6999

RHSA-2022:7000

RHSA-2022:7001

RHSA-2022:7002

RHSA-2022:7003

RHSA-2022:7004

RHSA-2022:7005

RHSA-2022:7006

RHSA-2022:7007

RHSA-2022:7008

RHSA-2022:7009

RHSA-2022:7010

RHSA-2022:7011

RHSA-2022:7012

RHSA-2022:7013

RHSA-2022:8880

RHSA-2022_6999

RHSA-2022_7000

RHSA-2022_7002

RHSA-2022_7006

RHSA-2022_7007

RHSA-2022_7008

RHSA-2022_7012

RHSA-2022_7013

RHSA-2022_8880

RHSA-2023:0128

RHSA-2023_0128

RLSA-2022:6999

RLSA-2022:7000

RLSA-2022:7006

RLSA-2022:7007

RLSA-2022:7012

RLSA-2022:7013

ROSA-SA-2023-2151

SUSE-SU-2022:4078-1

SUSE-SU-2022:4079-1

SUSE-SU-2022:4080-1

SUSE-SU-2022:4166-1

SUSE-SU-2022:4250-1

SUSE-SU-2022:4290-1

SUSE-SU-2022:4373-1

SUSE-SU-2022:4452-1

USN-5719-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Graalvm Enterprise Edition

Java Platform

Java Se

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2022-6865 · Oracle+10 · Java Se+12

CVE-2022-21628

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 316