PT-2024-6047 · Atlassian+2 · Confluence+2
Fe1W0
·
Publicado
2024-02-28
·
Atualizado
2025-05-28
·
CVE-2024-22871
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Clojure 1.12.0-alpha5 a 1.20
Versões do Clojure 1.7.0 a 1.11.1
Descrição
O problema está relacionado à desserialização de dados não confiáveis, o que pode permitir que um invasor cause uma negação de serviço (DoS) por meio da função
clojure.core$partial$fn 5920. Qualquer programa na JVM pode ler objetos serializados por meio de java.io.ObjectInputStream.readObject(), e a leitura de objetos serializados de uma fonte não confiável é inerentemente insegura. A exploração requer a criação de um objeto HashMap serializado com um objeto seq infinito como chave e o envio desse objeto para um programa que leia objetos serializados por meio de ObjectInputStream.readObject(). Isso fará com que o programa entre em um loop infinito na thread de leitura e, consequentemente, cause uma negação de serviço (DoS).Recomendações
Para as versões do Clojure 1.12.0-alpha5 a 1.20, atualize para uma versão que não seja afetada por este problema.
Para as versões do Clojure 1.7.0 a 1.11.1, considere desativar a função
clojure.core$partial$fn 5920 como uma solução temporária até que um patch esteja disponível.Para clientes do Confluence Data Center e Server, atualize para a versão mais recente ou para uma das versões corrigidas e compatíveis especificadas:
-
Confluence Data Center e Server 7.19: atualize para uma versão igual ou superior a 7.19.21
-
Confluence Data Center e Server 8.5: atualize para uma versão igual ou superior a 8.5.8
-
Confluence Data Center e Server 8.9: atualize para uma versão igual ou superior
Exploit
Correção
DoS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Confluence
Debian
Red Os