Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Apache Ignite (CVE-2024-52577)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
14/02/2025
Última modificación:
14/02/2025

Descripción

En las versiones de Apache Ignite de la 2.6.0 y anteriores a la 2.17.0, los filtros de serialización de clases configurados se ignoran en algunos endpoints de Ignite. La vulnerabilidad podría aprovecharse si un atacante crea manualmente un mensaje de Ignite que contenga un objeto vulnerable cuya clase esté presente en la ruta de clase del servidor de Ignite y lo envía a los endpoints del servidor de Ignite. La deserialización de dicho mensaje por parte del servidor de Ignite puede provocar la ejecución de código arbitrario en el lado del servidor de Apache Ignite.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.50 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0
9.50
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información