Vulnerabilidad en WireMock (CVE-2023-41329)

WireMock es una herramienta para imitar servicios HTTP. El modo proxy de WireMock se puede proteger mediante la configuración de restricciones de red, como se documenta en Preventing proxying y la grabación desde direcciones de destino específicas. Estas restricciones se pueden configurar utilizando los nombres de dominio y, en tal caso, la configuración es vulnerable a los ataques de vinculación de DNS. Se aplicó un parche similar en WireMock 3.0.0-beta-15 para las extensiones WireMock Webhook. La causa principal del ataque es un defecto en la lógica que permite una condición de ejecución desencadenada por un servidor DNS cuya dirección expira entre la validación inicial y la solicitud de red saliente que podría ir a un dominio que se suponía estaba prohibido. Se requiere control sobre un servicio DNS para explotar este ataque, por lo que tiene una alta complejidad de ejecución y un impacto limitado. Este problema se solucionó en la versión 2.35.1 de wiremock-jre8 y wiremock-jre8-standalone, la versión 3.0.3 de wiremock y wiremock-standalone, la versión 2.6.1 de la versión Python de wiremock y las versiones 2.35.1-1 y 3.0.3-1 del contenedor Docker wiremock/wiremock. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben configurar reglas de firewall para definir la lista de destinos permitidos o configurar WireMock para usar direcciones IP en lugar de nombres de dominio.