Vulnerabilidad en la configuración del canal ActiveMQ en OpenNMS Horizon y Meridian (CVE-2020-12760)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
11/05/2020
Última modificación:
13/05/2020
Descripción
Se detectó un problema en OpenNMS Horizon versiones anteriores a 26.0.1 y Meridian versiones anteriores a 2018.1.19 y versiones 2019 anteriores a 2019.1.7. La configuración del canal ActiveMQ permitió la deserialización arbitraria de objetos Java (también se conoce cmo deserialización de la carga útil de ActiveMQ Minion), conllevando a una ejecución de código remota para cualquier usuario del canal autenticado, sin importar sus permisos asignados.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opennms:opennms_horizon:*:*:*:*:*:*:*:* | 26.1.0 (excluyendo) | |
| cpe:2.3:a:opennms:opennms_meridian:*:*:*:*:*:*:*:* | 2018.1.19 (excluyendo) | |
| cpe:2.3:a:opennms:opennms_meridian:*:*:*:*:*:*:*:* | 2019 (incluyendo) | 2019.1.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OpenNMS/opennms/releases/tag/opennms-26.0.1-1
- https://issues.opennms.org/browse/NMS-12673
- https://www.opennms.com/en/blog/2020-04-29-opennms-horizon-26-0-1-luchador-released/
- https://www.opennms.com/en/blog/2020-04-29-opennms-meridian-2018-1-18-wildfire-released/
- https://www.opennms.com/en/blog/2020-04-29-opennms-meridian-2019-1-6-europa-released/