Vulnerabilidad en SOFARPC (CVE-2024-23636)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

23/01/2024

Última modificación:

01/02/2024

Descripción

SOFARPC es un framework Java RPC. SOFARPC utiliza de forma predeterminada el protocolo SOFA Hessian para deserializar los datos recibidos, mientras que el protocolo SOFA Hessian utiliza un mecanismo de lista negra para restringir la deserialización de clases potencialmente peligrosas para la protección de la seguridad. Pero, antes de la versión 5.12.0, existía una cadena de dispositivos que podía eludir el mecanismo de protección de la lista negra de SOFA Hessian, y esta cadena de dispositivos solo se basa en JDK y no depende de ningún componente de terceros. La versión 5.12.0 solucionó este problema agregando una lista negra. SOFARPC también proporciona una forma de agregar listas negras adicionales. Los usuarios pueden agregar una clase como `-Drpc_serialize_blacklist_override=org.apache.xpath.` para evitar este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto