Vulnerabilidad en Appalti & Contratti 9.12.2 (CVE-2022-44784)

Se descubrió un problema en Appalti & Contratti 9.12.2. Las aplicaciones web de destino LFS y DL229 exponen un conjunto de servicios proporcionados por la instancia de Axis 1.4, integrados directamente en las aplicaciones, como lo sugiere el archivo WEB-INF/web.xml filtrado a través de Local File Inclusion. Entre los servicios expuestos, se encuentra Axis AdminService, al que, a través de la configuración predeterminada, normalmente solo debería poder acceder el host local. Sin embargo, al intentar acceder al servicio mencionado, tanto en LFS como en DL229, el servicio puede ser alcanzado incluso por usuarios remotos, permitiendo la creación de servicios arbitrarios en el lado del servidor. Cuando un atacante puede acceder al AdminService, puede usarlo para crear instancias de servicios arbitrarios en el servidor. El procedimiento de explotación es bien conocido y se describe en Explotación genérica de AXIS-SSRF. Básicamente, el ataque consiste en escribir una página JSP dentro del directorio raíz de la aplicación web, a través de la clase org.apache.axis.handlers.LogHandler.