Plataforma
java
Componente
soap:soap
Corregido en
2.3.1
La vulnerabilidad CVE-2022-45378 es una falla de ejecución remota de código (RCE) que afecta a Apache SOAP en versiones 2.3.1 y anteriores. Debido a una configuración predeterminada insegura, el servlet RPCRouterServlet está disponible sin autenticación, permitiendo a un atacante invocar métodos en el classpath. Esto podría resultar en la ejecución de código arbitrario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor donde se ejecuta Apache SOAP. La falta de autenticación en el RPCRouterServlet permite a cualquier persona con acceso a la red invocar métodos en el classpath. Si existen clases con funcionalidades peligrosas en el classpath (por ejemplo, clases que permiten la ejecución de comandos del sistema operativo), el atacante podría obtener control total sobre el servidor. El impacto es significativo, ya que la ejecución de código arbitrario puede llevar al robo de datos sensibles, la modificación de la configuración del sistema, la instalación de malware o el uso del servidor como punto de apoyo para atacar otros sistemas en la red. Esta vulnerabilidad es similar a otras fallas de RCE que se aprovechan de la falta de autenticación en servicios web.
Esta vulnerabilidad fue publicada el 14 de noviembre de 2022. No se ha añadido a la lista KEV de CISA, pero dada la severidad (CVSS 9.8) y la posibilidad de ejecución remota de código, se considera de alto riesgo. No se han reportado públicamente exploits activos, pero la disponibilidad de la vulnerabilidad y su facilidad de explotación la hacen un objetivo atractivo para los atacantes. La falta de soporte oficial para Apache SOAP aumenta el riesgo, ya que no se esperan parches de seguridad.
Systems running Apache SOAP, particularly those deployed in legacy environments or as part of older applications, are at significant risk. Shared hosting environments where users have limited control over the server configuration are also vulnerable. Any system where Apache SOAP is used without proper security hardening is potentially exposed.
• java / server:
ps -ef | grep RPCRouterServlet• generic web:
curl -I http://<target>/RPCRouterServlet(Expect a 403 or 404 if the servlet is disabled) • generic web:
grep -r 'RPCRouterServlet' /var/www/html/*(Search for servlet mapping in web.xml or similar configuration files)
disclosure
Estado del Exploit
EPSS
4.51% (89% percentil)
Vector CVSS
La mitigación principal es actualizar a una versión de Apache SOAP que haya sido parcheada para solucionar esta vulnerabilidad. Sin embargo, dado que Apache SOAP ya no recibe soporte oficial, la actualización puede no ser posible o segura. Como alternativa, se puede deshabilitar el servlet RPCRouterServlet en la configuración de Apache SOAP. Esto se puede lograr eliminando la entrada correspondiente en el archivo web.xml o configurando el servlet para que requiera autenticación. Además, se recomienda revisar el classpath para eliminar cualquier clase que pueda ser explotada por un atacante. Después de aplicar la mitigación, verifique que el servlet RPCRouterServlet no esté disponible sin autenticación.
Actualizar a una versión soportada o deshabilitar el RPCRouterServlet si no es necesario. Dado que Apache SOAP ya no está soportado, la migración a una alternativa moderna es la solución recomendada. Si no es posible migrar, implementar controles de acceso estrictos para el RPCRouterServlet puede mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-45378 is a critical remote code execution vulnerability in Apache SOAP versions 2.3.1 and earlier. The RPCRouterServlet is accessible without authentication, allowing attackers to potentially execute arbitrary code.
You are affected if you are running Apache SOAP version 2.3.1 or earlier, especially if it's deployed in an environment where the RPCRouterServlet is accessible.
Due to the product's end-of-life, patching is unavailable. Mitigation involves disabling the RPCRouterServlet by removing its mapping or blocking access via a WAF.
While widespread exploitation hasn't been confirmed, the vulnerability's ease of exploitation and the lack of available patches make it a high-risk concern, and exploitation is likely to increase.
Apache SOAP is no longer maintained. Information about this vulnerability can be found on the NVD website: https://nvd.nist.gov/vuln/detail/CVE-2022-45378
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.