Vulnerabilidad en Integrated Scripting (CVE-2025-27107)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

13/03/2025

Última modificación:

13/03/2025

Descripción

Integrated Scripting es una herramienta para crear scripts que gestionan operaciones complejas en Integrated Dynamics. Los usuarios de Minecraft que usan Integrated Scripting en versiones anteriores a las 1.21.1-1.0.17, 1.21.4-1.0.9-254, 1.20.1-1.0.13 y 1.19.2-1.0.10 pueden ser vulnerables a la ejecución de código arbitrario. Al usar la reflexión de Java en un objeto de excepción lanzado, es posible escapar del entorno de pruebas de JavaScript para las tarjetas de variables de IntegratedScripting y aprovecharlo para construir clases e invocar métodos Java arbitrarios. Esta vulnerabilidad permite la ejecución de métodos Java arbitrarios y, por extensión, de código nativo arbitrario (por ejemplo, de `java.lang.Runtime.exec`) en el servidor de Minecraft por cualquier jugador con la capacidad de crear y usar una tarjeta de variables de IntegratedScripting. Las versiones 1.21.1-1.0.17, 1.21.4-1.0.9-254, 1.20.1-1.0.13 y 1.19.2-1.0.10 solucionan el problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Exploit Maturity (E): POC

Puntuación base 4.0

8.60

Gravedad 4.0

ALTA

Vulnerabilidad en Integrated Scripting (CVE-2025-27107)

Descripción

Impacto

Referencias a soluciones, herramientas e información