Katalog CVE

CVE-2026-13502

ŚrednieCVSS 4.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność polegającą na błędzie typu time-of-check time-of-use (TOCTOU) w funkcji ObjectInputStream.readObject w pliku GrammarDependencies.java komponentu Maven Plugin. Atak wymaga lokalnego dostępu i jest trudny do przeprowadzenia, ale exploit został już opublikowany.

Ocena ryzyka

Organizacja może być narażona na lokalne eskalacje uprawnień lub naruszenie integralności danych, jeśli atakujący ma dostęp do systemu i zdoła wykorzystać okno czasowe między sprawdzeniem a użyciem zasobu.

Rekomendacja

Zaleca się natychmiastową aktualizację ANTLR4 do wersji nowszej niż 4.13.2 oraz monitorowanie publikacji oficjalnej łatki od producenta. Do czasu aktualizacji należy ograniczyć lokalny dostęp do systemów korzystających z tego komponentu.

Oryginalny opis (angielski, źródło NVD)

A flaw has been found in antlr ANTLR4 up to 4.13.2. This affects the function ObjectInputStream.readObject of the file antlr4-maven-plugin/src/main/java/org/antlr/mojo/antlr4/GrammarDependencies.java of the component Maven Plugin. This manipulation causes time-of-check time-of-use. The attack is restricted to local execution. A high degree of complexity is needed for the attack. It is indicated that the exploitability is difficult. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS