Avisos sobre serviços

Todos os avisos > Avisos sobre segurança > Vulnerabilidade de execução remota de código no HyperSQL Database (HSQLDB) (CVE-2022-41853)

Vulnerabilidade de execução remota de código no HyperSQL Database (HSQLDB) (CVE-2022-41853)

02 de Novembro de 2022, GMT+08:00

I. Descrição

Recentemente, foi divulgado que existe uma importante vulnerabilidade de execução remota de código no banco de dados HyperSQL (CVE-2022-41853). Por padrão, declarações de SQL do HyperSQL podem chamar qualquer método estático de qualquer classe Java no caminho da classe. Quando as declarações java.sql.Statement e java.sql.PreparedStatement são usadas para analisar dados binários ou de texto não confiáveis, a execução remota de código pode ocorrer.

O HSQLDB é um banco de dados relacional de código aberto escrito em Java. Se você for um usuário do HSQLDB, verifique a sua versão em uso e implemente medidas para a mitigação de riscos à segurança prontamente.

Referência:

https://www.code-intelligence.com/blog/potential-remote-code-execution-in-hsqldb

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

HSQLDB < 2.7.1

Versões seguras:

HSQLDB 2.7.1

IV. Tratamento da vulnerabilidade

Essa vulnerabilidade foi corrigida na versão 2.7.1. Caso a versão do seu serviço for anterior à 2.7.1, atualize-a para a versão 2.7.1.

http://hsqldb.org/

O WAF da Huawei Cloud consegue realizar a defesa contra essa vulnerabilidade. Caso você seja um usuário do WAF, configure o status da proteção web básica para Block. Para mais detalhes, veja como configurar regras de proteção web básicas.

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.