Vulnerabilidad en Apache Avro Java SDK (CVE-2023-39410)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
29/09/2023
Última modificación:
13/02/2025
Descripción
Al deserializar datos corruptos o que no son de confianza, es posible que un lector consuma memoria más allá de las restricciones permitidas y, por lo tanto, provoque una falta de memoria en el sistema. Este problema afecta a las aplicaciones Java que utilizan Apache Avro Java SDK hasta la versión 1.11.2 incluida. Los usuarios deben actualizar a la versión 1.11.3 de Apache-avro, que soluciona este problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:avro:*:*:*:*:*:-:*:* | 1.11.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread/q142wj99cwdd0jo5lvdoxzoymlqyjdds
- https://security.netapp.com/advisory/ntap-20240621-0006/
- https://www.openwall.com/lists/oss-security/2023/09/29/6
- https://lists.apache.org/thread/q142wj99cwdd0jo5lvdoxzoymlqyjdds
- https://security.netapp.com/advisory/ntap-20240621-0006/
- https://www.openwall.com/lists/oss-security/2023/09/29/6