Vulnerabilidad en el mod Logistics Pipes (CVE-2023-38689)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

04/08/2023

Última modificación:

11/08/2023

Descripción

"Logistics Pipes es una modificación (también conocida como mod) para el juego de ordenador Minecraft Java Edition. El mod utilizaba Java&#39;s `ObjectInputStream#readObject` en datos no fiables procedentes de clientes o servidores a través de la red, lo que resultaba en una posible ejecución remota de código al enviar paquetes de red específicamente diseñados después de conectarse. Las versiones afectadas se publicaron entre 2013 y 2016 y el problema (entonces desconocido) se solucionó en 2016 mediante una refactorización del código de E/S de red. <br /> El problema está presente en todas las versiones de Logistics Pipes, desde la 0.7.0.91 hasta la 0.10.0.71, que se descargaron desde diferentes plataformas y que suman varios millones de descargas. Para Minecraft versión 1.7.10 el problema se solucionó en la versión 0.10.0.71. Todo el mundo en Minecraft 1.7.10 debe comprobar su número de versión de Logística Tuberías en su lista de mods y actualización, si el número de versión es menor que 0.10.0.71. Cualquier versión más reciente de Minecraft compatible (como 1.12.2) nunca tuvo una versión de Logistics Pipes con código vulnerable. La mejor solución disponible para las versiones vulnerables es jugar en un solo jugador o actualizar a nuevas versiones de Minecraft y modpacks."<br />

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto