PT-2024-5599 · Oracle+11 · Graalvm For Jdk+14

Sergey Bylokhov

·

Publicado

2024-07-16

·

Atualizado

2026-05-08

·

CVE-2024-21145

CVSS v3.1

4.8

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Oracle Java SE versões 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1
Oracle GraalVM para JDK versões 17.0.11, 21.0.3, 22.0.1
Oracle GraalVM Enterprise Edition versões 20.3.14, 21.3.10
Descrição
Uma vulnerabilidade difícil de explorar no componente 2D do Oracle Java SE, Oracle GraalVM para JDK e Oracle GraalVM Enterprise Edition permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa esses produtos. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. Essa vulnerabilidade pode ser explorada usando APIs no componente especificado, por exemplo, por meio de um serviço web que forneça dados às APIs. Ela também se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança.
Recomendações
Para as versões 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3 e 22.0.1 do Oracle Java SE, atualize para uma versão que contenha a correção para esta vulnerabilidade.
Para as versões 17.0.11, 21.0.3 e 22.0.1 do Oracle GraalVM para JDK, atualize para uma versão que contenha a correção para esta vulnerabilidade.
Para as versões 20.3.14 e 21.3.10 do Oracle GraalVM Enterprise Edition, atualize para uma versão que contenha a correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso ao componente 2D até que um patch esteja disponível.
No momento, não há i

Exploit

DoS

RCE

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-284

Identificadores relacionados

ALSA-2024:4563
ALSA-2024:4567
ALSA-2024:4568
ALSA-2024:4573
ALT-PU-2024-17624
ALT-PU-2024-17628
ALT-PU-2024-17629
ALT-PU-2024-17630
ALT-PU-2024-17631
ALT-PU-2024-17632
ALT-PU-2024-17633
ALT-PU-2024-17635
ALT-PU-2024-17637
ALT-PU-2024-17638
ALT-PU-2024-17639
ALT-PU-2024-17641
ALT-PU-2024-17642
ALT-PU-2025-1037
ALT-PU-2025-6317
BDU:2024-06287
BIT-JAVA-2024-21145
BIT-JAVA-MIN-2024-21145
BIT-JRE-2024-21145
CESA-2024_4563
CESA-2024_4567
CESA-2024_4568
CESA-2024_4573
CVE-2024-21145
DSA-5736-1
DSA-5738-1
INFSA-2024_4563
INFSA-2024_4567
INFSA-2024_4568
INFSA-2024_4573
MGASA-2024-0319
OESA-2024-1906
OESA-2024-1907
OESA-2024-1908
OESA-2024-1909
OESA-2024-1951
OESA-2024-1957
OESA-2024-1958
OESA-2024-2485
OESA-2024-2486
OESA-2024-2487
OESA-2024-2488
OESA-2024-2489
OPENSUSE-SU-2024:14202-1
OPENSUSE-SU-2024:14206-1
OPENSUSE-SU-2024:14207-1
OPENSUSE-SU-2024:14213-1
OPENSUSE-SU-2024:14233-1
OPENSUSE-SU-2024:14263-1
OPENSUSE-SU-2024:14265-1
OPENSUSE-SU-2024_2578-1
OPENSUSE-SU-2024_2786-1
OPENSUSE-SU-2024_3140-1
OPENSUSE-SU-2024_3162-1
OPENSUSE-SU-2025:0066-1
OPENSUSE-SU-2025:0067-1
RHSA-2024:4560
RHSA-2024:4563
RHSA-2024:4564
RHSA-2024:4567
RHSA-2024:4568
RHSA-2024:4573
RHSA-2024_4563
RHSA-2024_4567
RHSA-2024_4568
RHSA-2024_4573
RLSA-2024:4573
SUSE-SU-2024:2578-1
SUSE-SU-2024:2590-1
SUSE-SU-2024:2628-1
SUSE-SU-2024:2629-1
SUSE-SU-2024:2766-1
SUSE-SU-2024:2786-1
SUSE-SU-2024:3140-1
SUSE-SU-2024:3162-1
SUSE-SU-2024:3183-1
SUSE-SU-2024:3987-1
SUSE-SU-2024_3987-1
USN-6929-1
USN-6930-1
USN-6931-1
USN-6932-1
USN-7096-1
USN-7096-2
USN-7097-1
USN-7098-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Graalvm Enterprise Edition
Graalvm For Jdk
Ibm Aix
Java Platform
Java Se
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu