CVE-2024-23081
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W bibliotece ThreeTen Backport w wersji 1.6.8 odkryto wyjątek NullPointerException w metodzie compareTo klasy LocalDate. Należy jednak zaznaczyć, że wiele stron trzecich kwestionuje zasadność tego zgłoszenia, sugerując, że może ono wynikać z użycia niewystarczająco solidnego narzędzia do identyfikacji podatności.
Ocena ryzyka
Jeśli podatność jest prawdziwa, może prowadzić do nieoczekiwanego zakończenia działania aplikacji (DoS) przy przetwarzaniu dat. Jednak ze względu na kontrowersje wokół zgłoszenia, rzeczywiste ryzyko jest niepewne.
Rekomendacja
Zaleca się monitorowanie oficjalnych aktualizacji biblioteki ThreeTen Backport oraz rozważenie zastosowania tymczasowych zabezpieczeń, takich jak walidacja danych wejściowych przed użyciem metody compareTo.
Oryginalny opis (angielski, źródło NVD)
ThreeTen Backport v1.6.8 was discovered to contain a NullPointerException via the component org.threeten.bp.LocalDate::compareTo(ChronoLocalDate). NOTE: this is disputed by multiple third parties who believe there was not reasonable evidence to determine the existence of a vulnerability. The submission may have been based on a tool that is not sufficiently robust for vulnerability identification.

