Vulnerabilidades en Apache 2024
Apache lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.
A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Apache durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.
Tabla de contenidos
Vulnerabilidades en Apache 24 de enero 2024
INTRODUCCIÓN
Se ha detectado una vulnerabilidad crítica en versiones de Apache Superset previas a la 3.0.3.
ANÁLISIS
CVE-2023-49657 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N - 9.6:
Existe una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenadas en Apache Superset anterior a 3.0.3. Un atacante autenticado con permisos de creación/actualización de gráficos o cuadros de mando podría almacenar un script o añadir un fragmento HTML específico que actuaría como XSS almacenado.
VERSIONES AFECTADAS
Versiones de Apache Superset anteriores a la 3.0.3.
RECOMENDACIONES
Actualice a Apache Superset versión 3.0.3.
Para las versiones 2.X, los usuarios deben cambiar su configuración para incluir:
TALISMAN_CONFIG = {
"content_security_policy": {
"base-uri": ["'self'"],
"default-src": ["'self'"],
"img-src": ["'self'", "blob:", "data:"],
"worker-src": ["'self'", "blob:"],
"connect-src": [
"'self'",
" https://api.mapbox.com" https://api.mapbox.com" ;,
" https://events.mapbox.com" https://events.mapbox.com" ;,
],
"object-src": "'none'",
"style-src": [
"'self'",
"'unsafe-inline'",
],
"script-src": ["'self'", "'strict-dynamic'"],
},
"content_security_policy_nonce_in": ["script-src"],
"force_https": False,
"session_cookie_secure": False,
}
REFERENCIAS
https://lists.apache.org/thread/wjyvz8om9nwd396lh0bt156mtwjxpsvx
https://nvd.nist.gov/vuln/detail/CVE-2023-49657
Vulnerabilidades en Apache 9 de enero 2024
INTRODUCCIÓN
Se ha detectado una vulnerabilidad de alta severidad, en Apache OpenOffice. Esta vulnerabilidad permite la ejecución de código no deseada.
ANÁLISIS
CVE-2023-47804 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8.8:
Los documentos de Apache OpenOffice pueden contener enlaces que llaman a macros internas con argumentos arbitrarios. Para este fin se definen varios esquemas de URI. Los enlaces se pueden activar mediante clics o mediante eventos automáticos del documento. La ejecución de dichos enlaces debe estar sujeta a la aprobación del usuario. En las versiones afectadas de OpenOffice, no se solicita aprobación para ciertos enlaces que podrían dar lugar a la ejecución de scripts arbitrarios.
VERSIONES AFECTADAS
Apache OpenOffice versiones 4.1.14 y anteriores
Las versiones de OpenOffice.org también pueden estar afectadas.
RECOMENDACIONES
Actualice a Apache OpenOffice 4.1.15
REFERENCIAS
http://www.openwall.com/lists/oss-security/2024/01/03/3
https://lists.apache.org/thread/ygp59swfcy6g46jf8v9s6qpwmxn8fsvb
https://www.openoffice.org/security/cves/CVE-2023-47804.html
https://nvd.nist.gov/vuln/detail/CVE-2023-47804