PT-2024-6870 · Apache · Apache Seata
X1R0Z
·
Publicado
2024-09-11
·
Atualizado
2024-09-20
·
CVE-2024-22399
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.0.0 a 1.8.0 do Apache Seata
Versão 2.0.0 do Apache Seata
Descrição
O problema está relacionado à desserialização de dados não confiáveis no Apache Seata. Quando os desenvolvedores desativam a autenticação no Seata-Server e não utilizam as dependências do SDK do cliente Seata, eles podem construir solicitações maliciosas serializadas e descontroladas, enviando diretamente bytecode baseado no protocolo privado do Seata. Isso pode permitir que um invasor remoto cause uma negação de serviço usando uma solicitação especialmente criada.
Recomendações
Para as versões 1.0.0 a 1.8.0 do Apache Seata, atualize para a versão 1.8.1, que corrige o problema.
Para a versão 2.0.0 do Apache Seata, atualize para a versão 2.1.0, que corrige o problema.
Como solução alternativa temporária, considere desativar a autenticação no Seata-Server ou usar as dependências do SDK do cliente Seata para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Seata