Múltiples vulnerabilidades en Apache

INTRODUCCIÓN

Se han detectado 2 vulnerabilidades criticas y una de criticidad alta en productos de Apache como: Apache IOTDB (Base de datos para IOT), Apache Open For Business y Apache Sling.

ANÁLISIS

CVE-2023-30771 CVSS 9.8:

Vulnerabilidad de autorización incorrecta en Apache Software Foundation Apache IoTDB.Este problema afecta al componente iotdb-web-workbench en 0.13.3. iotdb-web-workbench es un componente opcional de IoTDB, que proporciona una consola web de la base de datos.

CVE-2022-47501 CVSS 7.5:

Vulnerabilidad de lectura arbitraria de archivos en Apache Software Foundation Apache OFBiz cuando se utiliza el plugin Solr.

CVE-2022-45064 CVSS 9.0:

El SlingRequestDispatcher no implementa correctamente la API RequestDispatcher resultando en un tipo genérico de problemas de cross-site scripting basados en include a nivel de Apache Sling. La vulnerabilidad es explotable por un atacante que sea capaz de incluir un recurso con un tipo de contenido específico y controlar la ruta de inclusión (es decir, escribir contenido). El impacto de un ataque exitoso es la escalada de privilegios a poder administrativo.

VERSIONES AFECTADAS

CVE-2023-30771:

Apache IOTDB 0.13.3

CVE-2022-47501:

Apache OFBiz versiones anteriores a 18.12.07

CVE-2022-45064:

Apache Sling versiones anteriores a 2.14.1

RECOMENDACIONES

CVE-2023-30771:

Actualice a Apache IOTDB 0.13.4 o versiones superiores

CVE-2022-47501:

Actualice a Apache OFBiz 18.12.07 o versiones superiores

CVE-2022-45064:

Actualice a Apache Sling 2.14.1 o versiones superiores y active la opción de configuración "Check Content-Type overrides"

REFERENCIAS

https://nvd.nist.gov/vuln/detail/CVE-2023-30771
https://lists.apache.org/thread/08nc3dr6lshfppx0pzmz5vbggdnzpojb
https://nvd.nist.gov/vuln/detail/CVE-2022-47501
https://lists.apache.org/thread/k8s76l0whydy45bfm4b69vq0mf94p3wc
https://nvd.nist.gov/vuln/detail/CVE-2022-45064
https://lists.apache.org/thread/hhp611hltby3whk03vx2mv7cmy3vs0ok