Vulnerabilidad en XXL-RPC (CVE-2023-45146)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

18/10/2023

Última modificación:

30/10/2023

Descripción

XXL-RPC es un framework RPC distribuido de alto rendimiento. Con él, se puede configurar un servidor TCP utilizando el marco Netty y el mecanismo de serialización de Hesse. Cuando se utiliza dicha configuración, los atacantes pueden conectarse al servidor y proporcionar objetos serializados maliciosos que, una vez deseriaizados, lo obligan a ejecutar código arbitrario. Se puede abusar de esto para tomar el control de la máquina que ejecuta el servidor mediante la ejecución remota de código. Este problema no se ha solucionado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

10.00

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:xxl-rpc_project:xxl-rpc::::::::		1.7.0 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://securitylab.github.com/advisories/GHSL-2023-052_XXL-RPC/