Vulnerabilidad en Apache Derby (CVE-2022-46337)
Severidad:
CRÍTICA
Type:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
20/11/2023
Última modificación:
26/04/2024
Descripción
Un nombre de usuario inteligentemente diseñado podría omitir las comprobaciones de autenticación LDAP. En instalaciones Derby autenticadas por LDAP, esto podría permitir que un atacante llene el disco creando bases de datos Derby basura. En instalaciones de Derby autenticadas por LDAP, esto también podría permitir al atacante ejecutar malware que era visible y ejecutable por la cuenta que arrancó el servidor Derby. En bases de datos protegidas por LDAP que tampoco estaban protegidas por la autorización SQL GRANT/REVOKE, esta vulnerabilidad también podría permitir que un atacante vea y corrompa datos confidenciales y ejecute funciones y procedimientos de bases de datos confidenciales. Mitigación: los usuarios deben actualizar a Java 21 y Derby 10.17.1.0. Alternativamente, los usuarios que deseen permanecer en versiones anteriores de Java deben crear su propia distribución Derby a partir de una de las familias de versiones a las que se admitió la solución: 10.16, 10.15 y 10.14. Esas son las versiones que corresponden, respectivamente, a las versiones 17, 11 y 8 de Java LTS.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:derby:*:*:*:*:*:*:*:* | 10.1.1.0 (incluyendo) | 10.14.3.0 (excluyendo) |
| cpe:2.3:a:apache:derby:*:*:*:*:*:*:*:* | 10.15.1.3 (incluyendo) | 10.15.2.1 (excluyendo) |
| cpe:2.3:a:apache:derby:10.16.1.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página