PT-2024-32653 · Apache+5 · Apache Commons Io+5

Codeql

·

Publicado

2024-10-03

·

Atualizado

2026-05-18

·

CVE-2024-47554

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Apache Commons IO, versões 2.0 a 2.13.x
Descrição
A classe org.apache.commons.io.input.XmlStreamReader pode consumir recursos excessivos da CPU ao processar entradas criadas de forma maliciosa. Este problema afeta o Apache Commons IO da versão 2.0 até a versão 2.14.0. Recomenda-se que os usuários atualizem para a versão 2.14.0 ou posterior, que corrige o problema.
Recomendações
Atualize para a versão 2.14.0 ou posterior, que corrige o problema. Como solução alternativa temporária, considere desativar a classe org.apache.commons.io.input.XmlStreamReader até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar a classe XmlStreamReader no endpoint da API afetado até que o problema seja resolvido.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

AZL-50019
AZL-50031
BDU:2025-03306
CLEANSTART-2026-DD05788
CLEANSTART-2026-IA43044
CLEANSTART-2026-JU62349
CLEANSTART-2026-SQ91016
CLEANSTART-2026-SV95049
CLEANSTART-2026-VH41554
CLEANSTART-2026-WK99982
CVE-2024-47554
GHSA-78WR-2P64-HPWJ
OESA-2024-2558
OPENSUSE-SU-2024:14387-1
SUSE-RU-2025:1150-1
SUSE-SU-2024:3596-1
SUSE-SU-2024_3596-1
USN-8191-1

Produtos afetados

Apache Commons Io
Debian
Linuxmint
Red Os
Suse
Ubuntu