PT-2024-7646 · Apache · Apache Lucene.Net.Replicator
Apache Lucene
+2
·
Publicado
2024-10-08
·
Atualizado
2024-11-05
·
CVE-2024-43383
CVSS v4.0
8.6
Alta
| Vetor | AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Apache Lucene.Net.Replicator, versões 4.8.0-beta00005 a 4.8.0-beta00016
Descrição
Este problema está relacionado à desserialização de dados não confiáveis, o que pode resultar na execução remota de código ou em outro tipo de acesso não autorizado. Um invasor capaz de interceptar o tráfego entre um cliente de replicação e o servidor, ou controlar a URL do nó de replicação alvo, pode fornecer uma resposta JSON especialmente criada para ser desserializada como um tipo de exceção fornecido pelo invasor.
Recomendações
Para resolver o problema, atualize para a versão 4.8.0-beta00017, que corrige a falha. Como solução alternativa temporária, considere restringir o acesso à biblioteca Replicator vulnerável para minimizar o risco de exploração. Evite usar a biblioteca vulnerável até que o problema seja resolvido.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Lucene.Net.Replicator