Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Fuga de memoria en Apache Wicket

Fecha de publicación 24/01/2025
Identificador
INCIBE-2025-0037
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de Apache Wicket están afectadas:

  • versiones 7.0.0 hasta 7.18;
  • versiones 8.0.0-M1 hasta 8.16;
  • versiones 9.0.0-M1 hasta 9.18;
  • versiones 10.0.0-M1 hasta 10.2.
Descripción

Pedro Santos ha reportado una vulnerabilidad, de severidad crítica, cuya explotación podría permitir a un atacante llevar a cabo una denegación de servicio (DoS).

Solución

Se recomienda a los usuarios actualizar a las versiones 9.19.0 o 10.3.0, que corrigen este problema.

Detalle

El manejo de peticiones en el núcleo en Apache Wicket 7.0.0 en cualquier plataforma, podría permitir a un atacante llevar a cabo una denegación de servicio a través de múltiples peticiones a recursos del servidor.

Se ha asignado el identificador CVE-2024-53299 para esta vulnerabilidad.