PT-2025-49315 · Google · Google Apigee+1
Nikita Markevich
·
Publicado
2025-12-05
·
Atualizado
2025-12-06
·
CVE-2025-13426
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Clear |
Nome do Software Vulnerável e Versões Afetadas
Versões do Google Apigee anteriores ao Hybrid 1.11.2
Versões do Google Apigee anteriores ao Hybrid 1.12.4
Versões do Google Apigee anteriores ao Hybrid 1.13.3
Versões do Google Apigee anteriores ao Hybrid 1.14.1
Versões do Google Apigee anteriores ao OPDK 5202
Versões do Google Apigee anteriores ao OPDK 5300
Descrição
Existe um problema de segurança na política JavaCallout dentro do Google Apigee. Isso permite a execução remota de código, possibilitando que um usuário injete um objeto malicioso no MessageContext. Isso pode levar à execução de código Java arbitrário e comandos do sistema em tempo de execução, potencialmente resultando em acesso não autorizado a dados e movimento lateral na rede. O componente vulnerável é a política JavaCallout, acessível via endpoint da API
https://docs.apigee.com/api-platform/reference/policies/java-callout-policy. O MessageContext é um parâmetro vulnerável.Recomendações
Atualize para o Google Apigee Hybrid versão 1.11.2 ou posterior.
Atualize para o Google Apigee Hybrid versão 1.12.4 ou posterior.
Atualize para o Google Apigee Hybrid versão 1.13.3 ou posterior.
Atualize para o Google Apigee Hybrid versão 1.14.1 ou posterior.
Atualize para o Google Apigee OPDK versão 5202 ou posterior.
Atualize para o Google Apigee OPDK versão 5300 ou posterior.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Google Apigee
Opdk