Vulnerabilidad en SOFARPC (CVE-2023-41331)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/09/2023

Última modificación:

15/09/2023

Descripción

SOFARPC es un framework de Java RPC. Las versiones anteriores a la 5.11.0 son vulnerables a la ejecución remota de comandos. A través de un payload manipulado, un atacante puede lograr la inyección JNDI o la ejecución de comandos del sistema. En la configuración predeterminada del framework SOFARPC, se utiliza una lista negra para filtrar las clases peligrosas encontradas durante el proceso de deserialización. Sin embargo, la lista negra no es exhaustiva y un actor puede explotar ciertas clases nativas de JDK y paquetes comunes de terceros para construir cadenas de dispositivos capaces de lograr ataques de inyección JNDI o ejecución de comandos del sistema. La versión 5.11.0 contiene una solución para este problema. Como workaround, los usuarios pueden agregar `-Drpc_serialize_blacklist_override=javax.sound.sampled.AudioFileFormat` a la lista negra.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto