Plataforma
java
Componente
org.apache.portals.jetspeed-2:jetspeed-commons
Corregido en
2.3.2
2.3.2
La vulnerabilidad CVE-2022-32533 afecta a Apache Jetspeed-2, un proyecto de Apache Portals. Se debe a una falta de filtrado adecuado de la entrada de usuario no confiable, lo que permite diversas vulnerabilidades como XSS, CSRF, XXE y SSRF. Esta vulnerabilidad afecta a versiones de Jetspeed-2 hasta la 2.3.1. Debido a que el proyecto es inactivo, no se proporcionarán actualizaciones oficiales, por lo que se recomienda aplicar la mitigación disponible.
Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en páginas web vistas por otros usuarios (XSS), realizar acciones en nombre de usuarios autenticados (CSRF), acceder a archivos internos del servidor (XXE) o realizar solicitudes a otros servidores en nombre del usuario (SSRF). El impacto potencial es significativo, pudiendo comprometer la confidencialidad, integridad y disponibilidad de la aplicación y los datos asociados. La falta de actualizaciones oficiales agrava el riesgo, ya que no hay parches disponibles para corregir la vulnerabilidad. La explotación exitosa podría resultar en el robo de información sensible, la manipulación de datos y la toma de control del sistema.
La vulnerabilidad CVE-2022-32533 fue publicada el 7 de julio de 2022. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación es considerada media debido a la disponibilidad de la información sobre la vulnerabilidad y la falta de actualizaciones oficiales. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de las vulnerabilidades (XSS, CSRF, XXE, SSRF) las hace susceptibles a la explotación por parte de atacantes con conocimientos técnicos.
Organizations that rely on Apache Jetspeed-2 for portal functionality, particularly those with legacy deployments or those who have not implemented robust input validation measures, are at significant risk. Shared hosting environments where Jetspeed-2 is deployed alongside other applications are also vulnerable, as a compromise of Jetspeed-2 could potentially impact other tenants.
• java / server:
find / -name "jetspeed-commons*.jar" -print• java / server:
grep -r "xss.filter.post = false" /opt/jetspeed/conf/*.xml• generic web:
curl -I http://your-jetspeed-server/ | grep -i serverdisclosure
Estado del Exploit
EPSS
10.51% (93% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es configurar la opción de configuración 'xss.filter.post = true'. Esta opción activa un filtro XSS que ayuda a prevenir la inyección de scripts maliciosos. Dado que el proyecto es inactivo, no hay parches disponibles. Se recomienda implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Además, se deben revisar y endurecer las políticas de seguridad de la aplicación para minimizar el riesgo de explotación. Después de aplicar la configuración, verificar que el filtro XSS esté activo y que las solicitudes maliciosas sean bloqueadas.
Actualizar a una versión parcheada o aplicar la configuración "xss.filter.post = true" para mitigar las vulnerabilidades XSS, CSRF, XXE y SSRF. Sin embargo, tenga en cuenta que Apache Jetspeed es un proyecto inactivo y no se proporcionarán actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-32533 is a critical XSS vulnerability in Apache Jetspeed-2 versions up to 2.3.1, caused by insufficient input filtering. This allows for XSS, CSRF, XXE, and SSRF attacks.
You are affected if you are using Apache Jetspeed-2 versions 2.3.1 or earlier. Given the project's dormancy, upgrading is not an option.
Enable the configuration option "xss.filter.post = true". Consider migrating to a supported portal solution as a long-term solution.
There is currently no confirmed active exploitation, but the vulnerability's severity warrants immediate mitigation.
The vulnerability is documented on the Apache Jetspeed project website and the NVD database: https://nvd.nist.gov/vuln/detail/CVE-2022-32533
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.