PT-2024-31762 · Apache · Apache Lucene
Paul Irwin
+1
·
Publicado
2024-09-30
·
Atualizado
2025-05-15
·
CVE-2024-45772
CVSS v3.1
8.0
Alta
| Vetor | AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do Apache Lucene de 4.4.0 a 9.11.0
Descrição:
O problema está relacionado à desserialização de dados não confiáveis no Apache Lucene Replicator. Ele afeta o pacote obsoleto org.apache.lucene.replicator.http, mas não o pacote org.apache.lucene.replicator.nrt. A desserialização só pode ser acionada se os usuários implantarem ativamente uma implementação acessível pela rede e um cliente correspondente usando uma biblioteca HTTP que utilize a API.
Recomendações:
Para as versões 4.4.0 a 9.11.0, atualize para a versão 9.12.0 para corrigir o problema.
Como solução alternativa temporária, considere usar filtros de serialização Java, como
-Djdk.serialFilter=‘!*’ na linha de comando, para mitigar o problema em versões vulneráveis sem afetar a funcionalidade.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Lucene