Vulnerabilidad en JDK DNS Cache (CVE-2023-26438)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/08/2023
Última modificación:
12/01/2024
Descripción
Las búsquedas de servicios externos para una serie de protocolos eran vulnerables a una debilidad de condición de carrera de tiempo de comprobación/tiempo de uso (TOCTOU), que afectaba a JDK DNS Cache. Los atacantes que sincronizaban correctamente la expiración de la caché DNS podían inyectar una configuración que eludía las listas de denegación de red existentes. Los atacantes podían explotar esta debilidad para descubrir la existencia de una infraestructura de red restringida y la disponibilidad del servicio. Se introdujeron mejoras para incluir de denegación no sólo durante la comprobación de los datos de conexión proporcionados, sino también durante el uso. No se conocen exploits disponibles públicamente.
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-xchange:open-xchange_appsuite_backend:7.10.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:open-xchange:open-xchange_appsuite_backend:8.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/173943/OX-App-Suite-SSRF-SQL-Injection-Cross-Site-Scripting.html
- http://seclists.org/fulldisclosure/2023/Aug/8
- https://documentation.open-xchange.com/appsuite/security/advisories/csaf/2023/oxas-adv-2023-0003.json
- https://software.open-xchange.com/products/appsuite/doc/Release_Notes_for_Patch_Release_6230_7.10.6_2023-05-02.pdf