Vulnerabilidad en protobuf-java (CVE-2022-3509)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/12/2022
Última modificación:
22/04/2025
Descripción
Un problema de análisis similar a CVE-2022-3171, pero con formato de texto en las versiones core y lite de protobuf-java anteriores a 3.21.7, 3.20.3, 3.19.6 y 3.16.3 puede provocar un ataque de Denegación de Servicio (DoS). Las entradas que contienen múltiples instancias de mensajes incrustados no repetidos con campos repetidos o desconocidos hacen que los objetos se conviertan de un lado a otro entre formas mutables e inmutables, lo que resulta en pausas de recolección de basura potencialmente largas. Recomendamos actualizar a las versiones mencionadas anteriormente.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:protobuf-java:*:*:*:*:*:*:*:* | 3.16.0 (incluyendo) | 3.16.3 (excluyendo) |
| cpe:2.3:a:google:protobuf-java:*:*:*:*:*:*:*:* | 3.19.0 (incluyendo) | 3.19.6 (excluyendo) |
| cpe:2.3:a:google:protobuf-java:*:*:*:*:*:*:*:* | 3.20.0 (incluyendo) | 3.20.3 (excluyendo) |
| cpe:2.3:a:google:protobuf-java:*:*:*:*:*:*:*:* | 3.21.0 (incluyendo) | 3.21.7 (excluyendo) |
| cpe:2.3:a:google:protobuf-javalite:*:*:*:*:*:*:*:* | 3.16.0 (incluyendo) | 3.16.3 (excluyendo) |
| cpe:2.3:a:google:protobuf-javalite:*:*:*:*:*:*:*:* | 3.17.0 (incluyendo) | 3.19.6 (excluyendo) |
| cpe:2.3:a:google:protobuf-javalite:*:*:*:*:*:*:*:* | 3.20.0 (incluyendo) | 3.20.3 (excluyendo) |
| cpe:2.3:a:google:protobuf-javalite:*:*:*:*:*:*:*:* | 3.21.0 (incluyendo) | 3.21.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página