CVE-2019-10181
CVE-2019-10181
En resumen
Una falla en icedtea-web permite que atacantes inyecten código malicioso en archivos JAR manteniendo la firma digital válida. Esto significa que los usuarios pueden ejecutar código no confiable creyendo que están ejecutando una aplicación legítima.
Detalle técnico
CWE-345 (Verificación Insuficiente de Autenticidad de Datos) afecta icedtea-web versiones hasta 1.7.2 y 1.8.2, permitiendo inyección de código en archivos JAR firmados sin invalidar la firma. El vector es entrega de JAR manipulado; el código inyectado se ejecuta dentro de la sandbox Java, limitando pero no eliminando el impacto de seguridad.
Resumen generado y traducido por IA a partir de la descripción oficial.
It was found that in icedtea-web up to and including 1.7.2 and 1.8.2 executable code could be injected in a JAR file without compromising the signature verification. An attacker could use this flaw to inject code in a trusted JAR. The code would be executed inside the sandbox.
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Productos afectados
IcedTea · icedtea-web¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00045.htmlhttp://packetstormsecurity.com/files/154748/IcedTeaWeb-Validation-Bypass-Directory-Traversal-Code-Execution.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10181https://github.com/AdoptOpenJDK/IcedTea-Web/issues/327https://github.com/AdoptOpenJDK/IcedTea-Web/pull/344https://lists.debian.org/debian-lts-announce/2019/09/msg00008.htmlhttps://seclists.org/bugtraq/2019/Oct/5https://security.gentoo.org/glsa/202107-51