En el resumen de esta semana, hablaremos de:
- una vulnerabilidad XSS en phpMyAdmin drag-and-drop upload;
- una vulnerabilidad de desbordamiento de búfer en la biblioteca de exploración ClamAV; y
- un error de contrabando de contenido HTTP en HAProxy.
Vulnerabilidad XSS en phpMyAdmin drag-and-drop upload
Un usuario anónimo descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en la funcionalidad de carga de phpMyAdmin. Esta vulnerabilidad permite a un usuario autenticado desencadenar XSS cargando un archivo .sql maliciosamente diseñado en la interfaz de arrastrar y soltar de phpMyAdmin.
La vulnerabilidad XSS de carga de arrastrar y soltar afecta a los usuarios de phpMyAdmin que hayan instalado versiones anteriores a la 4.9.11 y 5.x antes de la 5.2.1. phpMyAdmin ha publicado las versiones 4.9.11 y 5.2.1 para remediar esta vulnerabilidad. Sin embargo, como factor de mitigación, los usuarios pueden deshabilitar la directiva de configuración $cfg['enable_drag_drop_import'], que deshabilita la funcionalidad de arrastrar y soltar y protege a los usuarios contra la vulnerabilidad.
La vulnerabilidad XSS de carga de arrastrar y soltar -registrada como CVE-2023-25727- fuecalificada como 5,4 media en la puntuación CVSS por el NIST debido al bajo impacto en la confidencialidad y la integridad. Un ataque exitoso puede realizar una escalada de privilegios eludiendo las comprobaciones de permisos de credenciales del kernel.
Vulnerabilidad de desbordamiento de búfer en el análisis de particiones HFS+ de ClamAV
El 15 de febrero de 2023, se reveló una vulnerabilidad en la biblioteca de análisis de ClamAV. El analizador de archivos de partición HFS+ de las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores de ClamAV tiene una vulnerabilidad de seguridad que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un sistema de destino.
La vulnerabilidad se debe a la falta de comprobación del tamaño del búfer en el analizador de archivos de partición HFS+, lo que podría provocar un desbordamiento del búfer de montón. Cuando un usuario envía un archivo de partición HFS+ manipulado para ser escaneado por ClamAV en un dispositivo afectado, el motor podría intentar leer y procesar el archivo, activando la vulnerabilidad. Un atacante puede aprovecharse de esta vulnerabilidad enviando un archivo de partición HFS+ especialmente diseñado a un sistema vulnerable.
Una vez que el archivo es escaneado por ClamAV, el motor intenta procesarlo, lo que puede llevar a la ejecución de código arbitrario por parte del atacante. Esto podría dar lugar a que el atacante obtenga acceso no autorizado al sistema, robe datos confidenciales o instale malware. Además, el atacante también puede hacer que el proceso de escaneo de ClamaV se bloquee, dando lugar a una condición de denegación de servicio (DoS), que podría interrumpir las operaciones normales del sistema de destino.
ClamAV software ha publicado ClamAV 0.103.8, 0.105.2 y 1.0.1, que deberían incluir parches para la vulnerabilidad.
La vulnerabilidad ha sido registrada como CVE-2023-20032 y ha sido calificada como 9,8 crítica en la puntuación CVSS por Cisco debido al alto impacto en la confidencialidad, integridad y disponibilidad.
Error de contrabando de contenido HTTP en HAProxy
Un equipo de investigación de seguridad de Northeastern, Akamai Technologies y Google ha descubierto un fallo en el procesamiento de las cabeceras de HAProxy; cuando se explota, el fallo puede permitir un ataque de contrabando de contenido HTTP. El responsable del mantenimiento de HAProxy, Willy Tarreau, informó de esta vulnerabilidad. HAProxy es un equilibrador de carga de código abierto y una herramienta de proxy inverso para aplicaciones HTTP y TCP.
La vulnerabilidad se encontró en el procesamiento de cabeceras de HAProxy. Se explota mediante una petición HTTP maliciosamente diseñada que podría provocar la omisión de campos de cabecera importantes tras el análisis. Esto podría crear peticiones adicionales al servidor y permitir que las peticiones subsiguientes eludan los filtros de HAProxy, dando a un atacante acceso a contenido restringido, la capacidad de eludir la autenticación de URL u otros fines maliciosos.
Tarreau confirmó que casi todas las versiones de HAProxy estaban afectadas por la vulnerabilidad, incluidas las versiones HTX-aware 2.0 y superiores y las versiones no HTX 1.9 y anteriores o la versión 2.0 en modo heredado.
Tras confirmar la vulnerabilidad, Tarreau publicó una corrección para todas las versiones de HAProxy, incluidas 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 y 2.0.31. Tarreau recomienda que los usuarios de HAProxy actualicen a la versión parcheada de su rama correspondiente como mejor práctica para mantenerse protegidos. Si no es posible actualizar inmediatamente, Tarreau ha compartido una solución que rechaza las peticiones que intentan activar el fallo con un error 403. Sin embargo, esta solución no garantiza una mitigación completa, por lo que se recomienda actualizar a una versión parcheada.
Esta vulnerabilidad ha sido registrada como CVE-2023-25725 y ha sido calificada como 9.1 crítica en la puntuación CVSS por el NIST debido al alto impacto sobre la integridad y la disponibilidad.
Comentarios