CVE-2022-42004

Versões do FasterXML jackson-databind anteriores à 2.13.4

Versões 9.1.0, 9.2.1 e 9.3.0 do Bamboo Data Center e Server

Versões 7.17.0, 7.21.0, 8.7.0, 8.8.0, 8.9.0, 8.10.0, 8.11.0, 8.12.0 e 8.13.0 do Bitbucket Data Center e Server

O problema está relacionado ao esgotamento de recursos devido à falta de uma verificação em BeanDeserializer. deserializeFromArray para impedir o uso de matrizes profundamente aninhadas. Isso pode ocorrer quando o recurso UNWRAP SINGLE VALUE ARRAYS está explicitamente habilitado. Um aplicativo fica vulnerável apenas com determinadas configurações personalizadas para a desserialização. A vulnerabilidade permite que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário.

Para versões do FasterXML jackson-databind anteriores à 2.13.4, atualize para a versão 2.13.4 ou posterior.

Para o Bamboo Data Center e Server versão 9.2, atualize para uma versão igual ou superior a 9.2.5.

Para o Bamboo Data Center e Server versão 9.3, atualize para uma versão igual ou superior a 9.3.3.

Para o Bitbucket Data Center e Server versão 7.21, atualize para uma versão igual ou superior a 7.21.14.

Para o Bitbucket Data Center e Server versão 8.9, atualize para uma versão igual ou superior à 8.9.4.

Para o Bitbucket Data Center e Server versão 8.10, atualize para uma versão igual ou superior à 8.10.4.

Para