Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Apache JSPWiki, un software wiki construido alrededor de los componentes JEE de Java, los servlets y las páginas JavaServer. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de múltiples escenarios maliciosos.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2021-40369: La inadecuada desinfección de los datos proporcionados por el usuario en el complemento Denounce permitiría a los actores de amenazas remotos enviar enlaces especialmente diseñados para que las víctimas ejecuten código HTML arbitrario en su propio navegador web.
La vulnerabilidad recibió un puntaje CVSS de 5.3/10 y su explotación exitosa permitiría a los actores de amenazas robar información confidencial, modificar el contenido de un sitio web e incluso realizar ataques de phishing.
CVE-2021-44140: Por otra parte, esta falla existe debido a las inadecuadas restricciones de acceso en la solución afectada, lo que permitiría a un hacker malicioso enviar solicitudes HTTP especialmente diseñadas al cerrar la sesión y eliminar archivos arbitrarios en un sistema donde se aloje una instancia JSPWiki.
Esta es una falla de alta severidad y recibió un puntaje CVSS de 7.9/10.
Acorde al reporte, las fallas residen en las siguientes versiones de Apache JSPWiki: 2.1.120, 2.1.121, 2.1.122, 2.4.103, 2.4.104, 2.5.139, 2.5.139 beta, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.8.0, 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.9.0, 2.9.1, 2.10.0, 2.10.1, 2.10.2, 2.10.3, 2.10.4, 2.10.5, 2.11.0.M1, 2.11.0.M2, 2.11.0.M3, 2.11.0.M4, 2.11.0.M5, 2.11.0M6, 2.11.0M7 y 2.11.0M8.
A pesar de que las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos en ciberseguridad no han detectado intentos de explotación activa o la presencia de una variante de malware asociada al ataque. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).