CVE-2024-54676

8 Ene 2025

Título es

CVE-2024-54676

Mié, 08/01/2025 – 09:15

Tipo

CWE-502

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-54676

Descripción es

Proveedor: The Apache Software Foundation Versiones afectadas: Apache OpenMeetings desde la versión 2.1.0 hasta la 8.0.0 Descripción: Las instrucciones de agrupamiento predeterminadas en https://openmeetings.apache.org/Clustering.html no especifican listas blancas/negras para OpenJPA, lo que lleva a una posible deserialización de datos no confiables. Se recomienda a los usuarios actualizar a la versión 8.0.0 y actualizar sus scripts de inicio para incluir las configuraciones 'openjpa.serialization.class.blacklist' y 'openjpa.serialization.class.whitelist' relevantes como se muestra en la documentación.

Descripción en

Vendor: The Apache Software Foundation

Versions Affected: Apache OpenMeetings from 2.1.0 before 8.0.0

Description: Default clustering instructions at https://openmeetings.apache.org/Clustering.html doesn't specify white/black lists for OpenJPA this leads to possible deserialisation of untrusted data.
Users are recommended to upgrade to version 8.0.0 and update their startup scripts to include the relevant 'openjpa.serialization.class.blacklist' and 'openjpa.serialization.class.whitelist' configurations as shown in the documentation.

08/01/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://lists.apache.org/thread/o0k05jxrt5tp4nm45lj14yfjxmg67m95

http://www.openwall.com/lists/oss-security/2025/01/08/1

Enviar en el boletín

Off

CVE-2024-54676

CVE-2024-54676

Jose Alexis Correa Valencia