Vulnerabilidad en Maven Archetype (CVE-2024-47197)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

26/09/2024

Última modificación:

17/03/2025

Descripción

Exposición de información confidencial a un actor no autorizado, vulnerabilidad de almacenamiento inseguro de información confidencial en el complemento Maven Archetype. Este problema afecta al complemento Maven Archetype: desde la versión 3.2.1 hasta la 3.3.0. Se recomienda a los usuarios que actualicen a la versión 3.3.0, que soluciona el problema. Las pruebas de integración de Archetype crean un archivo llamado ./target/classes/archetype-it/archetype-settings.xml. Este archivo contiene todo el contenido del archivo ~/.m2/settings.xml de los usuarios, que a menudo contiene información que no desean publicar. Esperamos que en muchas máquinas de desarrolladores, esto también contenga credenciales. Cuando el usuario ejecuta mvn verificar nuevamente (sin un mvn clean), este archivo se convierte en parte del artefacto final. Si un desarrollador publicara esto en Maven Central o cualquier otro repositorio remoto (ya sea como una versión o una instantánea), sus credenciales se publicarían sin que ellos lo supieran.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno