Plataforma
java
Componente
org.openrefine:openrefine
Corregido en
3.8.4
3.8.3
El CVE-2024-49760 describe una vulnerabilidad de Path Traversal en OpenRefine, una herramienta de limpieza y transformación de datos. Esta falla permite a un atacante leer archivos JSON arbitrarios del sistema de archivos, comprometiendo la confidencialidad de la información. La vulnerabilidad afecta a versiones de OpenRefine hasta la 3.8.2, y se ha solucionado en la versión 3.8.3.
Un atacante puede explotar esta vulnerabilidad manipulando el parámetro lang en el comando load-language. En lugar de especificar un archivo de traducción válido, el atacante puede proporcionar una ruta que apunte a cualquier archivo JSON accesible por el proceso de OpenRefine. Esto podría incluir archivos de configuración sensibles, datos de usuario o incluso código fuente. El impacto potencial es la exposición de información confidencial y, en algunos casos, la ejecución de código malicioso si el atacante puede encontrar o inyectar código en un archivo JSON que luego sea cargado y ejecutado por OpenRefine. La severidad de la vulnerabilidad radica en su relativa facilidad de explotación y el amplio rango de archivos que un atacante podría potencialmente acceder.
Este CVE fue publicado el 24 de octubre de 2024. Actualmente no se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a ser explotada. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using OpenRefine for data cleaning and transformation, particularly those running OpenRefine on publicly accessible servers or within shared hosting environments, are at risk. Systems with legacy OpenRefine installations or those lacking robust file system access controls are also more vulnerable.
• java / server: Monitor OpenRefine logs for requests containing suspicious directory traversal sequences in the lang parameter (e.g., ../).
• generic web: Use curl/wget to test the load-language endpoint with crafted lang parameters containing directory traversal sequences. Inspect the response for unexpected file content.
curl 'http://your-openrefine-server/load-language?lang=../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.57% (68% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar OpenRefine a la versión 3.8.3 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al comando load-language a usuarios confiables. Además, se puede implementar una validación de ruta más estricta en el código para asegurar que los archivos cargados se encuentren dentro del directorio de traducciones esperado. Monitorear los logs de OpenRefine en busca de intentos de acceso a archivos fuera del directorio de traducciones también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que la vulnerabilidad ha sido mitigada intentando acceder a un archivo JSON fuera del directorio de traducciones a través del comando load-language.
Actualice OpenRefine a la versión 3.8.3 o superior. Esta versión corrige la vulnerabilidad de path traversal en el comando load-language, impidiendo el acceso no autorizado a archivos en el sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-49760 is a Path Traversal vulnerability in OpenRefine affecting versions up to 3.8.2. It allows attackers to read arbitrary JSON files from the server's file system.
You are affected if you are using OpenRefine version 3.8.2 or earlier. Upgrade to 3.8.3 to mitigate the risk.
Upgrade OpenRefine to version 3.8.3 or later. As a temporary workaround, implement a WAF rule to block requests with suspicious directory traversal sequences.
As of now, there are no confirmed reports of active exploitation of CVE-2024-49760.
Refer to the OpenRefine project's security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.