PT-2022-7336 · Apache+5 · Apache Tomcat+5

Publicado

2022-11-09

·

Atualizado

2026-05-18

·

CVE-2022-45143

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat 8.5.83, 9.0.40 a 9.0.68, 10.1.0-M1 a 10.1.1
Descrição
O problema está relacionado ao JsonErrorReportValve no Apache Tomcat, que não escapa adequadamente os valores type, message ou description. Esses valores podem ser construídos a partir de dados fornecidos pelo usuário, permitindo que os usuários forneçam valores que possam invalidar ou manipular a saída JSON.
Recomendações
Para as versões 8.5.83, 9.0.40 a 9.0.68 e 10.1.0-M1 a 10.1.1 do Apache Tomcat, considere atualizar para uma versão em que este problema esteja corrigido, uma vez que a versão exata corrigida não está especificada nas informações fornecidas.
Como solução alternativa temporária, considere restringir a entrada do usuário para impedir a manipulação da saída JSON.
Restrinja o acesso ao JsonErrorReportValve para minimizar o risco de exploração.

Correção

DoS

Special Elements Injection

Improper Encoding or Escaping of Output

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-116

Identificadores relacionados

ALT-PU-2023-8058
ALT-PU-2025-2379
ALT-PU-2025-9146
BDU:2024-03597
BIT-TOMCAT-2022-45143
CLEANSTART-2026-AJ47488
CLEANSTART-2026-AM95501
CLEANSTART-2026-CD66042
CLEANSTART-2026-GR86205
CLEANSTART-2026-KB11938
CLEANSTART-2026-MR27796
CLEANSTART-2026-RH10099
CLEANSTART-2026-RK94800
CLEANSTART-2026-SJ80413
CLEANSTART-2026-TN71701
CLEANSTART-2026-UZ56639
CLEANSTART-2026-XI02879
CLEANSTART-2026-XP03839
CLEANSTART-2026-XP58111
CVE-2022-45143
DSA-5381-1
GHSA-RQ2W-37H9-VG94
MGASA-2023-0138
OPENSUSE-SU-2024:12847-1
OPENSUSE-SU-2024:13441-1
RHSA-2023:1663
SUSE-SU-2023:1853-1
SUSE-SU-2023_1853-1

Produtos afetados

Alt Linux
Apache Tomcat
Astra Linux
Confluence
Red Os
Suse