CVE-2024-20926

Oracle Java SE versões 8u391, 8u391-perf, 11.0.21

Oracle GraalVM para JDK versão 17.0.9

Oracle GraalVM Enterprise Edition versões 20.3.12, 21.3.8, 22.3.4

O problema está relacionado à validação insuficiente de entradas no componente Scripting do Oracle Java SE, Oracle GraalVM para JDK e Oracle GraalVM Enterprise Edition. Essa vulnerabilidade pode ser explorada por um invasor não autenticado com acesso à rede por meio de vários protocolos, permitindo que ele comprometa os sistemas afetados. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. A vulnerabilidade pode ser explorada usando APIs no componente especificado, por exemplo, por meio de um serviço web que forneça dados às APIs. Ela também se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança.

Para as versões 8u391, 8u391-perf e 11.0.21 do Oracle Java SE, atualize para uma versão que inclua a correção para esta vulnerabilidade.

Para o Oracle GraalVM para JDK versão 17.0.9, atualize para uma versão que inclua a correção para esta vulnerabilidade.

Para as versões 20.3.12, 21.3.8 e 22.3.4 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para esta vulnerabilidade.

Como solução alternativa temporária, considere restringir o acesso ao componente Scripting e limitar o uso de APIs que possam ser exploradas.