Vulnerabilidad en el motor Rhino en HtmlUnit (CVE-2020-5529)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/02/2020
Última modificación:
15/10/2024
Descripción
HtmlUnit anterior a 2.37.0, contiene vulnerabilidades de ejecución de código. HtmlUnit inicializa el motor Rhino inapropiadamente, por lo tanto, un código JavScript malicioso puede ejecutar código Java arbitrario en la aplicación. Adicionalmente, cuando se inserta en la aplicación de Android, la inicialización del motor Rhino específica de Android se lleva a cabo de manera inapropiada, por lo tanto, un código JavaScript malicioso puede ejecutar código Java arbitrario sobre la aplicación.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:htmlunit:htmlunit:*:*:*:*:*:*:*:* | 2.37.0 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:a:apache:camel:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/HtmlUnit/htmlunit/releases/tag/2.37.0
- https://jvn.jp/en/jp/JVN34535327/
- https://lists.apache.org/thread.html/ra2cd7f8e61dc6b8a2d9065094cd1f46aa63ad10f237ee363e26e8563%40%3Ccommits.camel.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2020/08/msg00023.html
- https://usn.ubuntu.com/4584-1/