Plataforma
java
Componente
cdata-api-server
Corregido en
23.4.8844
Se ha identificado una vulnerabilidad de Path Traversal en CData API Server, específicamente en la versión Java que utiliza el servidor embebido Jetty. Esta falla permite a un atacante remoto no autenticado eludir las restricciones de acceso y obtener control administrativo completo sobre la aplicación. La vulnerabilidad afecta a versiones anteriores a 23.4.8844 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
La gravedad de esta vulnerabilidad radica en la posibilidad de que un atacante obtenga acceso administrativo completo al servidor CData API Server. Esto implica la capacidad de modificar la configuración, acceder a datos sensibles, ejecutar comandos arbitrarios y, potencialmente, comprometer otros sistemas conectados a la red. Un atacante podría, por ejemplo, leer archivos de configuración confidenciales, modificar la base de datos o incluso instalar malware. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el radio de impacto, ya que cualquier usuario externo puede intentar aprovecharla.
Esta vulnerabilidad ha sido publicada públicamente el 5 de abril de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La naturaleza de la vulnerabilidad, un Path Traversal sin autenticación, la convierte en un objetivo atractivo para atacantes, por lo que se recomienda aplicar las mitigaciones lo antes posible. La disponibilidad de un parche oficial indica que el proveedor está al tanto del problema y lo está abordando activamente.
Organizations deploying CData API Server in Java environments, particularly those with exposed API endpoints or limited network segmentation, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to compromise other users' data.
• java / server: Monitor access logs for requests containing path traversal sequences (e.g., '../').
• generic web: Use curl to test for path traversal vulnerabilities by attempting to access files outside the intended directory structure. Example:
curl 'http://your-api-server/../../../../etc/passwd'• generic web: Check response headers for unexpected file disclosures. • linux / server: Examine system logs for unusual file access patterns or unauthorized modifications.
disclosure
kev
Estado del Exploit
EPSS
93.60% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar CData API Server a la versión 23.4.8844 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda restringir el acceso al servidor Jetty a través de reglas de firewall o proxies. Además, se debe revisar y endurecer la configuración del servidor para limitar los permisos de usuario y restringir el acceso a archivos sensibles. Monitorear los registros del servidor en busca de patrones de acceso inusuales o intentos de manipulación de rutas también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la corrección verificando que las rutas de acceso a archivos estén correctamente restringidas.
Actualice CData API Server a la versión 23.4.8844 o posterior. Esta actualización corrige la vulnerabilidad de recorrido de ruta que permite el acceso administrativo no autenticado. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31848 is a critical vulnerability allowing unauthenticated attackers to gain administrative access to CData API Server via path traversal, affecting versions 0–23.4.8843.
If you are using CData API Server versions 0 through 23.4.8843 and are running the Java version with the embedded Jetty server, you are potentially affected by this vulnerability.
Upgrade CData API Server to version 23.4.8844 or later to resolve this vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no public exploits are currently available, the vulnerability has been added to the CISA KEV catalog, indicating a high probability of exploitation.
Refer to the official CData API Server security advisory for detailed information and updates regarding CVE-2024-31848.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.