Uma importante vulnerabilidade de segurança foi descoberta no Apache JackRabbit, um popular repositório de conteúdo de código aberto usado em sistemas de gerenciamento de conteúdo corporativo e aplicativos da Web.
Essa falha pode permitir que atacantes não autenticados obtenham a execução de código arbitrário (RCE) em servidores executando versões vulneráveis, apresentando um risco crítico para a segurança do sistema e a confidencialidade dos dados.
A vulnerabilidade, rastreada como JCR-5135, é classificada como um problema de “deserialização de dados não confiáveis”. Reside em como certos componentes do Apache JackRabbit lidam com as pesquisas de nomeação e interface do diretório (JNDI) Java.
Especificamente, se uma implantação estiver configurada para aceitar pesquisas de repositório de conteúdo JNDI para Java (JCR) de fontes não confiáveis ou voltadas para o público, um invasor pode explorar esse caminho.
Ao enviar uma referência JNDI especialmente criada e maliciosa, um invasor pode enganar o aplicativo para processá -lo.
Essa ação desencadeia a desserialização de dados não confiáveis de uma fonte controlada pelo atacante, que pode resultar na execução de comandos arbitrários no servidor subjacente com os privilégios do aplicativo.
Uma exploração bem -sucedida pode permitir que um invasor instale malware, roubar dados confidenciais ou assumir o controle total do sistema afetado. O pesquisador de segurança James John relatou a questão.
Versões afetadas
A vulnerabilidade é generalizada, afetando mais de duas décadas de lançamentos para dois dos componentes fundamentais do projeto. Todos os usuários que executam as versões a seguir são considerados em risco e devem revisar seus sistemas imediatamente.
Apache Jackrabbit Core (org.apache.jackrabbit: JackRabbit-core): versões 1.0.0 a 2.22.1 Apache JackRabbit JCR Commons (org.apache.jackrabbit: Jackrabbit-JCR-Commons): versões 1.0.0 a 2.22.1
Mitigação e recomendações
Para abordar esse risco significativo de segurança, a equipe do Apache JackRabbit Project lançou um patch. Os administradores são fortemente instados a atualizar todas as implantações afetadas para a versão 2.22.2 ou posterior.
A correção de segurança primária na nova versão é a desativação padrão das pesquisas do JCR através do JNDI, que fecha o vetor de ataque para a maioria dos usuários.
Para aqueles que exigem essa funcionalidade específica para suas operações, agora deve ser ativada explicitamente por meio de uma propriedade do sistema.
Os desenvolvedores aconselham que qualquer pessoa repensando esse recurso deve executar uma revisão de segurança cuidadosa de seu uso, garantindo que nenhum dados não validados e fornecidos pelo usuário possa influenciar o processado JNDI URI.
A aplicação da atualização é a maneira mais eficaz de mitigar a ameaça.
Encontre esta história interessante! Siga -nos no Google News, LinkedIn e X para obter mais atualizações instantâneas.
