CVE

Vulnerabilidad en Jolokia (CVE-2022-41678)

Severidad:
ALTA
Type:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
28/11/2023
Última modificación:
16/02/2024

Descripción

Una vez que un usuario se autentica en Jolokia, potencialmente puede desencadenar la ejecución de código arbitrario. En detalles, en las configuraciones de ActiveMQ, jetty permite que org.jolokia.http.AgentServlet maneje la solicitud a /api/jolokia org.jolokia.http.HttpRequestHandler#handlePostRequest puede crear JmxRequest a través de JSONObject. Y llamadas a org.jolokia.http.HttpRequestHandler#executeRequest. En pilas de llamadas más profundas, org.jolokia.handler.ExecHandler#doHandleRequest puede invocar mediante reflexión. Y luego, RCE se puede lograr a través de jdk.management.jfr.FlightRecorderMXBeanImpl que existe en la versión de Java superior a 11. 1 Call newRecording. 2 Call setConfiguration. Y en él se esconden datos de un webshell. 3 Call startRecording. 4 Call copyTo method. El webshell se escribirá en un archivo .jsp. La mitigación es restringir (de forma predeterminada) las acciones autorizadas en Jolokia o desactivar Jolokia. Se ha definido una configuración de Jolokia más restrictiva en la distribución predeterminada de ActiveMQ. Alentamos a los usuarios a actualizar a la versión de distribuciones ActiveMQ, incluida la configuración actualizada de Jolokia: 5.16.6, 5.17.4, 5.18.0, 6.0.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* 5.16.6 (excluyendo)
cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* 5.17.0 (incluyendo) 5.17.4 (excluyendo)


botón arriba