Vulnerabilidad en Apache Commons BCEL (CVE-2022-42920)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
07/11/2022
Última modificación:
17/01/2024
Descripción
Apache Commons BCEL tiene una serie de API que normalmente solo permitirían cambiar características de clase específicas. Sin embargo, debido a un problema de escritura fuera de límites, estas API se pueden utilizar para producir código de bytes arbitrario. Se podría abusar de esto en aplicaciones que pasan datos controlables por el atacante a esas API, lo que le da al atacante más control sobre el código de bytes resultante del que se esperaría. Actualización a Apache Commons BCEL 6.6.0.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:commons_bcel:*:*:*:*:*:*:*:* | 6.6.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/11/07/2
- https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LX3HEB4TV2BVCGDTK5BCLSYOZNQTOBN4/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QAMRHAKGIKZNHRBB4VLYTOIOIMMXCUCD/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QMVX6COVXZVS5GPWDODIRW6Z2GE7RPAQ/
- https://security.gentoo.org/glsa/202401-25