CVE-2022-24816
Improper Control of Generation of Code in jai-ext
En resumen
JAI-EXT permite que atacantes ejecuten código arbitrario en un servidor enviando scripts Jiffle maliciosos a través de solicitudes de red. Estos scripts se compilan a código Java y se ejecutan sin validación adecuada, dando al atacante control total del sistema.
Detalle técnico
CWE-94: Control Inadecuado de la Generación de Código. Scripts Jiffle enviados a través de entrada de red se compilan a bytecode Java mediante el compilador Janino sin sanitización, permitiendo la ejecución de código arbitrario. Los sistemas afectados incluyen GeoServer y cualquier aplicación que acepte scripts Jiffle de fuentes no confiables; la explotación requiere acceso de red a un endpoint habilitado para Jiffle.
Resumen generado y traducido por IA a partir de la descripción oficial.
JAI-EXT is an open-source project which aims to extend the Java Advanced Imaging (JAI) API. Programs allowing Jiffle script to be provided via network request can lead to a Remote Code Execution as the Jiffle script is compiled into Java code via Janino, and executed. In particular, this affects the downstream GeoServer project. Version 1.2.22 will contain a patch that disables the ability to inject malicious code into the resulting script. Users unable to upgrade may negate the ability to compile Jiffle scripts from the final application, by removing janino-x.y.z.jar from the classpath.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
geosolutions-it · jai-extPoCs públicas encontradas — 1
githubgithub.com/c1ph3rbyt3/CVE-2022-24816★ 1⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →