Vulnerabilidad en Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21068)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/04/2024
Última modificación:
06/12/2024
Descripción
Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u401-perf, 11.0.22, 17.0.10, 21.0.2, 22; Oracle GraalVM para JDK: 17.0.10, 21.0.2 y 22; Edición empresarial de Oracle GraalVM: 21.3.9. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede aprovechar utilizando API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en un espacio aislado o subprogramas de Java en un espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. CVSS 3.1 Puntaje base 3.7 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:graalvm:21.3.9:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:graalvm_for_jdk:17.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:graalvm_for_jdk:21.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:graalvm_for_jdk:22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8.0:update401:*:*:enterprise_performance_pack:*:*:* | ||
| cpe:2.3:a:oracle:jdk:11.0.22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:17.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:21.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:22.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8.0:update401:*:*:enterprise_performance_pack:*:*:* | ||
| cpe:2.3:a:oracle:jre:11.0.22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:17.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:21.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.debian.org/debian-lts-announce/2024/04/msg00014.html
- https://security.netapp.com/advisory/ntap-20240426-0004/
- https://www.oracle.com/security-alerts/cpuapr2024.html
- https://lists.debian.org/debian-lts-announce/2024/04/msg00014.html
- https://security.netapp.com/advisory/ntap-20240426-0004/
- https://www.oracle.com/security-alerts/cpuapr2024.html