[TLP:CLEAR] Apache Avro opravuje vysoce závažnou zranitelnost
Apache Avro Java Software Development Kit (SDK) verzemi 1.11.4 a 1.12.0 opravuje vysoce závažnou zranitelnost [1]. V případě, že není možné aktualizovat, doporučuje se před parsováním schémat provést jejich sanitizaci a vyhnout se parsování schémat poskytnutých uživateli [2].
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti při parsování schématu umožněno vykonat spuštění libovolného kódu [1].
Zranitelnost se nachází v produktu Apache Avro Java SDK ve verzích <1.11.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2024-47561 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 10. 2024.
Odkazy
Publikovala Michaela Jarošová dne 8. 10. 2024.
