PT-2022-7285 · Apache+10 · Apache Commons Bcel+10

Felix Wilhelm

·

Publicado

2022-11-04

·

Atualizado

2025-01-21

·

CVE-2022-42920

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Apache Commons BCEL anteriores à 6.6.0
Descrição
O problema está relacionado a uma falha de gravação fora dos limites no Apache Commons BCEL, que pode ser explorada para gerar bytecode arbitrário. Isso poderia ser abusado em aplicativos que passam dados controláveis pelo invasor para as APIs afetadas, dando ao invasor mais controle sobre o bytecode resultante do que o esperado.
Recomendações
Atualize para o Apache Commons BCEL 6.6.0 para resolver o problema. Como solução temporária, considere restringir o uso de APIs que permitam alterar características específicas de classes para minimizar o risco de exploração. Evite passar dados controláveis pelo invasor para essas APIs até que o problema seja resolvido.

Correção

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALSA-2023:0005
ALT-PU-2024-16391
ALT-PU-2024-16424
ALT-PU-2024-16692
BDU:2024-02279
CESA-2022_8958
CVE-2022-42920
GHSA-97XG-PHPR-RG8Q
INFSA-2023_0005
OPENSUSE-SU-2022_4306-1
OPENSUSE-SU-2024:12498-1
OPENSUSE-SU-2024:12530-1
RHSA-2022:8958
RHSA-2022:8959
RHSA-2022_8958
RHSA-2023:0004
RHSA-2023:0005
RHSA-2023_0005
RLSA-2023:0005
SUSE-SU-2022:4306-1
SUSE-SU-2022:4331-1
SUSE-SU-2022_4306-1
SUSE-SU-2022_4331-1
USN-7208-1

Produtos afetados

Alt Linux
Almalinux
Apache Commons Bcel
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu