CVE-2024-32007

Nome do software vulnerável e versões afetadas:

Versões do Apache CXF anteriores à 3.5.9

Versões do Apache CXF anteriores à 3.6.4

Versões do Apache CXF anteriores à 4.0.5

Versões do Bitbucket Data Center e Server de 8.9.0 a 8.9.18

Versões do Bitbucket Data Center e Server 8.18.0

Versões do Bitbucket Data Center e Server de 8.19.0 a 8.19.8

Descrição:

A vulnerabilidade está relacionada a uma validação inadequada da entrada do parâmetro p2c no código JOSE do Apache CXF, permitindo que um invasor execute um ataque de negação de serviço ao especificar um valor muito grande para esse parâmetro em um token. Isso pode levar ao consumo descontrolado de recursos. Um invasor não autenticado pode expor ativos no ambiente suscetíveis à exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário.

Recomendações:

Para versões do Apache CXF anteriores à 3.5.9, atualize para a versão 3.5.9 ou posterior.

Para versões do Apache CXF anteriores à 3.6.4, atualize para a versão 3.6.4 ou posterior.

Para versões do Apache CXF anteriores à 4.0.5, atualize para a versão 4.0.5 ou posterior.

Para as versões 8.9.0 a 8.9.18 do Bitbucket Data Center e Server, atualize para uma versão igual ou superior à 8.9.19.

Para as versões 8.18.0 do Bitbucket Data Center e Server, atualize para uma versão igual ou superior à 8.19.9.

Para as versões 8.19.0 a 8.19.8 do Bitbucket Data Center e Server, atualize para uma versão igual ou superior à 8.19.9.

Como solução alternativa temporária, considere restringir o acesso à vulnerabilidade