Vulnerabilidad en OpenRefine (CVE-2024-47883)

La bifurcación OpenRefine del servidor MIT Simile Butterfly es un framework de trabajo de aplicación web modular. El framework Butterfly utiliza la clase `java.net.URL` para hacer referencia a (lo que se espera que sean) archivos de recursos locales, como imágenes o plantillas. Esto funciona: "abrir una conexión" a estas URL abre el archivo local. Sin embargo, antes de la versión 1.2.6, si se proporciona directamente una URL `file:/` donde se espera una ruta relativa (nombre del recurso), esto también se acepta en algunas rutas de código; la aplicación luego obtiene el archivo, desde una máquina remota si se indica, y lo usa como si fuera una parte confiable de la base de código de la aplicación. Esto conduce a múltiples debilidades y debilidades potenciales. Un atacante que tenga acceso de red a la aplicación podría usarlo para obtener acceso a archivos, ya sea en el sistema de archivos del servidor (path traversal) o compartidos por máquinas cercanas (server-side request forgery con, por ejemplo, SMB). Un atacante que pueda dirigir o redirigir a un usuario a una URL manipulada que pertenezca a la aplicación podría provocar que se cargue código JavaScript arbitrario controlado por el atacante en el navegador de la víctima (cross-site scripting). Si una aplicación está escrita de tal manera que un atacante puede influir en el nombre del recurso utilizado para una plantilla, ese atacante podría provocar que la aplicación obtenga y ejecute una plantilla controlada por el atacante (ejecución de código remoto). La versión 1.2.6 contiene un parche.