Se han detectado varias vulnerabilidades en productos de Apache. A continuación se analizan las altas y críticas, se enumeran los productos afectados, y se exponen soluciones y mitigaciones disponibles.
siguientes identificadores:
inclusive, las instalaciones que no han alterado la SECRET_KEY
configurada por defecto según las instrucciones de instalación
permiten a un atacante autenticarse y acceder a recursos no
autorizados. Esto no afecta a los administradores de Superset
que hayan cambiado el valor por defecto de la configuración de
SECRET_KEY.
– CVE-2023-30771 (CVSS 9.8):
En Apache Software Foundation Apache IoTDB versión 0.13.3, el
componente iotdb-web-workbench se ve afectado por una
vulnerabilidad de autorización incorrecta. iotdb-web-workbench
es un componente opcional de IoTDB, que proporciona una
consola web de la base de datos.
– CVE-2022-47501 (CVSS 7.5):
Hay una vulnerabilidad de lectura arbitraria de archivos en
Apache Software Foundation Apache OFBiz cuando se utiliza el
plugin Solr. Esta vulnerabilidad es explotable por atacantes
no autorizados.
– CVE-2022-45064 (CVSS 9.0):
A nivel de Apache Sling, el SlingRequestDispatcher no
implementa correctamente la API RequestDispatcher, lo que
resulta en problemas de cross-site scripting basados en
include. La vulnerabilidad es explotable por un atacante capaz
de incluir un recurso con un tipo de contenido específico y de
controlar la ruta de inclusión (es decir, escribir contenido).
El impacto de un ataque exitoso es la escalada de privilegios
a poder administrativo.
(CVE-2023-30771)
v18.12.07 (CVE-2022-47501)
tecnologías de que disponga:
v0.13.4
v18.12.07
(tras la actualización, activar la opción «Check Content-Type
overrides» en la configuración)
workarounds:
SECRET_KEY a una cadena generada de forma correctamente
aleatoria.
ha publicado ningún workaround, aunque en el caso de OFBiz la
vulnerabilidad no afecta a implementaciones que no utilicen el
plugin Solr.
https://lists.apache.org/thread/08nc3dr6lshfppx0pzmz5vbggdnzpojb
https://nvd.nist.gov/vuln/detail/CVE-2022-47501
https://lists.apache.org/thread/k8s76l0whydy45bfm4b69vq0mf94p3wc
https://nvd.nist.gov/vuln/detail/CVE-2022-45064
https://lists.apache.org/thread/hhp611hltby3whk03vx2mv7cmy3vs0ok