Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las tareas fixcrlf y replaceregexp en la propiedad del sistema Java java.io.tmpdir en el directorio temporal en Apache Ant (CVE-2020-1945)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2020
Última modificación:
07/11/2023

Descripción

Apache Ant versiones 1.1 hasta 1.9.14 y versiones 1.10.0 hasta 1.10.7, utiliza el directorio temporal por defecto identificado por la propiedad del sistema Java java.io.tmpdir para varias tareas y puede, por tanto, filtrar información confidencial. Las tareas fixcrlf y replaceregexp también copian los archivos desde el directorio temporal de nuevo en el árbol de compilación, lo que permite a un atacante inyectar archivos fuente modificados en el proceso de compilación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:ant:*:*:*:*:*:*:*:* 1.1 (incluyendo) 1.9.14 (incluyendo)
cpe:2.3:a:apache:ant:*:*:*:*:*:*:*:* 1.10.0 (incluyendo) 1.10.7 (incluyendo)
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:agile_engineering_data_management:6.2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_enterprise_collections:*:*:*:*:*:*:*:* 2.7.0 (incluyendo) 2.9.0 (incluyendo)
cpe:2.3:a:oracle:banking_liquidity_management:*:*:*:*:*:*:*:* 14.0.0 (incluyendo) 14.4.0 (incluyendo)
cpe:2.3:a:oracle:banking_platform:*:*:*:*:*:*:*:* 2.4.0 (incluyendo) 2.9.0 (incluyendo)
cpe:2.3:a:oracle:business_process_management_suite:12.2.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_process_management_suite:12.2.1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:category_management_planning_\&_optimization:15.0.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_asap:7.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.2.2 (incluyendo)


Referencias a soluciones, herramientas e información