Especialistas en seguridad informática reportan la detección de múltiples vulnerabilidades en JBoss Enterprise Application Platfom (EAP), una plataforma de tiempo de ejecución de servidor de aplicaciones basada en Java EE de código abierto empleada para crear, implementar y hospedar aplicaciones y servicios Java altamente transaccionales desarrollados y mantenidos por Red Hat.

Según el reporte, estas fallas se consideran críticas debido a que su explotación exitosa permitiría el despliegue de peligrosos escenarios de hacking, por lo que es vital que los usuarios de implementaciones afectadas actualicen a la brevedad.

A continuación se presentan breves descripciones de las fallas detectadas y sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2022-1319: EAP 7 envía incorrectamente dos paquetes de respuesta con el indicador de reutilización establecido aunque JBoss EAP cierre la conexión, lo que permitiría a los actores de amenazas remotos desplegar un ataque de denegación de servicio (DoS).

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2022-24785: La validación de entrada incorrecta al procesar secuencias transversales de directorio dentro de la versión npm de Moment.js permitiría a los atacantes remotos enviar solicitudes HTTP especialmente diseñadas y leer archivos arbitrarios en el sistema.

La vulnerabilidad recibió una puntuación CVSS de 6.5/10.

CVE-2022-23913: La aplicación no controla adecuadamente el consumo de recursos internos, lo que permitiría a los hackers remotos desplegar ataques DoS.

La falla recibió una puntuación CVSS de 6.5/10 y se le considera un riesgo de severidad media.

CVE-2022-23437: Un bucle infinito al analizar documentos XML permitiría a los hackers remotos generar una condición DoS a través de un documento XML especialmente diseñado.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2022-23221: La validación de entrada insegura al procesar datos serializados dentro de jdbc:h2:mem permitiría a los hackers pasar una URL de JDBC especialmente diseñada con la subcadena IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT, forzando la ejecución de código arbitrario en el sistema afectado.

Esta es una falla de alta severidad y recibió un puntaje CVSS de 8.5/10.

CVE-2022-21363: La validación de entrada incorrecta dentro del componente Connector/J en MySQL Connectors permitiría a un usuario con altos privilegios explotar este error para ejecutar código arbitrario en el sistema afectado.

Esta es una falla de severidad media y recibió un puntaje CVSS de 5.8/10.

CVE-2022-21299: La validación de entrada incorrecta dentro del componente JAXP en Oracle GraalVM Enterprise Edition permitiría a los atacantes remotos no autenticados generar interrupciones en el servicio.

Esta falla recibió un puntaje CVSS de 4.6/10 y se le considera un error de severidad media.

CVE-2022-0866: La autorización incorrecta permitiría la divulgación de la entidad de seguridad de la persona que llama, que se puede devolver desde EJBComponent#getCallerPrincipal.

Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 3.2/10.

CVE-2020-36518: Un error de límite al procesar entradas que no son de confianza permitiría a los actores de amenazas remotos desencadenar una escritura fuera de límites y forzar una condición DoS.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2022-0853: Un error de filtración de memoria permitiría a los atacantes remotos desplegar ataques DoS en los sistemas afectados.

La falla recibió un puntaje CVSS de 6.5/10.

CVE-2022-0084: El método de notificación de lectura cerrada de main/java/org/xnio/StreamConnection.java almacena datos en el registro de depuración en lugar de stderr. Debido a esta práctica, un atacante podría forzar el registro de una cantidad de datos enorme, consumiendo todo el espacio disponible y generando una condición DoS.

Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 3.2/10.

CVE-2021-43797: La validación incorrecta de las solicitudes HTTP al procesar los caracteres de control presentes al principio o al final del nombre del encabezado permitiría a los actores de amenazas enviar solicitudes HTTP especialmente diseñadas al servidor para realizar ataques de contrabando de encabezados HTTP.

Esta falla recibió un puntaje CVSS de 5.7/10 y se le considera un error de severidad media.

CVE-2021-42392: La validación de entrada insegura al procesar datos serializados dentro del método org.h2.util.JdbcUtils.getConnection permitiría a los actores de amenazas pasar un nombre de controlador JNDI y una URL que conduzca a servidores LDAP o RMI y ejecutar código arbitrario.

Este es un error de seguridad crítico y recibió un puntaje CVSS de 8.5/10.

CVE-2021-37137: La validación de entrada incorrecta dentro del componente Netty en la búsqueda guiada de Oracle Commerce permitiría a los atacantes remotos no autenticados desplegar ataques DoS.

La vulnerabilidad recibió un puntaje CVSS de 6.5/10.

CVE-2021-37136: La aplicación no controla correctamente el consumo de recursos internos en la función de decodificador de descompresión Bzip2, lo que permitiría a los actores de amenazas desplegar ataques DoS.

Este es un error de severidad media y recibió un puntaje CVSS de 6.5/10.

Según el reporte, las fallas residen en todas las versiones de JBoss Enterprise Application Platform entre v7.4.0 y v7.4.4. Como ya se ha mencionado, este es un riesgo de seguridad crítico, por lo que lo más recomendable es aplicar los parches disponibles a la brevedad; la buena noticia es que no se han detectado casos de explotación activa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).