PT-2022-6926 · Xstream+5 · Xstream+5
Lai Han
·
Publicado
2022-12-21
·
Atualizado
2025-09-29
·
CVE-2022-41966
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.20
Descrição
A vulnerabilidade permite que um invasor remoto encerre a aplicação com um erro de estouro de pilha, resultando em uma negação de serviço por meio da manipulação do fluxo de entrada processado. Isso é feito explorando a implementação do código hash para coleções e mapas, forçando o cálculo recursivo do hash e causando um estouro de pilha.
Recomendações
Para versões anteriores à 1.4.20, atualize para a versão 1.4.20 para corrigir o problema, que lida com o estouro de pilha e, em vez disso, lança uma exceção InputManipulationException.
Como solução alternativa temporária para usuários que utilizam apenas HashMap ou HashSet e cujo XML se refere a eles apenas como mapa ou conjunto padrão, considere alterar a implementação padrão de java.util.Map e java.util conforme o exemplo de código no aviso de segurança mencionado, mas certifique-se de que seu aplicativo não se preocupe com a implementação do mapa e que todos os elementos sejam comparáveis.
Exploit
Correção
DoS
Uncontrolled Recursion
Deserialization of Untrusted Data
Stack Overflow
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Jira
Linuxmint
Suse
Ubuntu
Xstream