Vulnerabilidad en JAI-EXT (CVE-2022-24816)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

13/04/2022

Última modificación:

18/02/2025

Descripción

JAI-EXT es un proyecto de código abierto cuyo objetivo es ampliar la API de Java Advanced Imaging (JAI). Los programas que permiten el suministro de scripts Jiffle por petición de red pueden conllevar a una Ejecución de Código Remota, ya que el script Jiffle es compilado en código Java por medio de Janino, y es ejecutado. En particular, esto afecta al proyecto GeoServer de la versión inferior. La versión 1.2.22 contendrá un parche que deshabilita la capacidad de inyectar código malicioso en el script resultante. Los usuarios que no puedan actualizar pueden anular la capacidad de compilar scripts Jiffle desde la aplicación final, al remover janino-x.y.z.jar del classpath

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

10.00

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico