CVE-2024-20952

Oracle Java SE versões 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1

Oracle GraalVM para JDK versões 17.0.9, 21.0.1

Oracle GraalVM Enterprise Edition versões 20.3.12, 21.3.8, 22.3.4

Uma vulnerabilidade de difícil exploração nos produtos Oracle Java SE, Oracle GraalVM para JDK e Oracle GraalVM Enterprise Edition permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa esses sistemas. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. Esta vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox Java para segurança, tipicamente em clientes que executam aplicativos Java Web Start em sandbox ou applets Java em sandbox.

Para as versões 8u391, 8u391-perf, 11.0.21, 17.0.9 e 21.0.1 do Oracle Java SE, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Para as versões 17.0.9 e 21.0.1 do Oracle GraalVM para JDK, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Para as versões 20.3.12, 21.3.8 e 22.3.4 do Oracle GraalVM Enterprise Edition, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Como solução alternativa temporária, considere restringir o acesso à sandbox do Java e limitar a execução de código não confiável até que um patch esteja disponível.