Plataforma
java
Componente
io.vertx:vertx-web
Corregido en
3.4.1
3.9.4
El CVE-2019-17640 es una vulnerabilidad de Path Traversal descubierta en Eclipse Vert.x Web. Esta falla permite a un atacante escapar del directorio web raíz en sistemas operativos Windows, potencialmente exponiendo archivos sensibles del servidor. La vulnerabilidad afecta a versiones de Vert.x Web hasta la 3.9.3, y ha sido solucionada en la versión 3.9.4.
Un atacante que explote esta vulnerabilidad podría leer archivos arbitrarios en el sistema de archivos del servidor, incluyendo archivos de configuración, código fuente, o incluso datos sensibles como contraseñas o claves de API. El impacto es significativo, ya que permite el acceso no autorizado a información confidencial. La capacidad de leer archivos fuera del directorio web raíz abre la puerta a la escalada de privilegios y al control del servidor. La naturaleza de Path Traversal hace que la detección sea difícil, ya que el ataque puede disfrazarse como solicitudes legítimas de archivos.
Este CVE fue publicado en febrero de 2022. No se ha reportado explotación activa a gran escala, pero la naturaleza de Path Traversal lo convierte en un objetivo atractivo para atacantes. La vulnerabilidad no figura en el KEV de CISA al momento de esta redacción. La disponibilidad de un proof-of-concept público podría facilitar la explotación por parte de actores maliciosos.
Organizations deploying Vert.x Web applications, particularly those running on Windows servers or with legacy configurations that haven't been updated to version 3.9.4, are at significant risk. Shared hosting environments utilizing Vert.x Web are also vulnerable, as they may not have control over the underlying Vert.x Web version.
• java / server:
find /opt/vertx/lib -name "*vertx-web-*.jar" -print0 | xargs -0 grep -iE 'StaticHandler.*backslashes'• java / supply-chain: Check dependencies in your project's build file (pom.xml or build.gradle) for Vert.x Web versions prior to 3.9.4. • generic web: Review access logs for requests containing unusual or excessive backslashes in the file path, especially those targeting static resources.
discovery
disclosure
poc
patch
Estado del Exploit
EPSS
1.69% (82% percentil)
Vector CVSS
La mitigación principal es actualizar a la versión 3.9.4 de Eclipse Vert.x Web o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la configuración de un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio web raíz. También es importante revisar y endurecer la configuración del servidor web, limitando los permisos de acceso a los archivos y directorios. Monitorear los registros del servidor en busca de patrones sospechosos de acceso a archivos puede ayudar a detectar intentos de explotación.
Actualice a una versión de Eclipse Vert.x posterior a 3.9.4 o 4.0.0.Beta3 que corrija la vulnerabilidad de recorrido de directorios causada por el manejo incorrecto de barras invertidas en sistemas Windows. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-17640 es una vulnerabilidad de Path Traversal en Eclipse Vert.x Web que permite a un atacante acceder a archivos fuera del directorio web raíz en sistemas Windows.
Si está utilizando Vert.x Web en una versión inferior o igual a 3.9.3, es vulnerable. Actualice a la versión 3.9.4 o superior para solucionar el problema.
La solución es actualizar a la versión 3.9.4 de Eclipse Vert.x Web o superior. Si no es posible, implemente medidas de seguridad adicionales como un WAF.
Aunque no se ha reportado explotación activa a gran escala, la naturaleza de Path Traversal lo convierte en un objetivo atractivo para atacantes.
Consulte el sitio web de Eclipse Vert.x para obtener información y actualizaciones sobre esta vulnerabilidad: https://vertx.io/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.