Vulnerabilidad en NuProcess (CVE-2022-39243)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/09/2022

Última modificación:

13/07/2023

Descripción

NuProcess es una implementación de ejecución de procesos externos para Java. En todas las versiones de NuProcess en las que bifurca procesos usando el método Java_java_lang_UNIXProcess_forkAndExec de la JVM (1.2.0+), los atacantes pueden usar caracteres NUL en sus cadenas para llevar a cabo una inyección en la línea de comandos. El ProcessBuilder de Java no es vulnerable debido a una comprobación en ProcessBuilder.start. NuProcess carece de esa comprobación. Esta vulnerabilidad sólo puede ser explotada para inyectar argumentos de línea de comandos en Linux. La versión 2.0.5 contiene un parche. Como mitigación, los usuarios de la biblioteca pueden sanear las cadenas de comandos para eliminar los caracteres NUL antes de pasarlas a NuProcess para su ejecución.<br />

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto