Plataforma
java
Componente
org.asynchttpclient:async-http-client
Corregido en
3.0.2
2.12.4
La vulnerabilidad CVE-2024-53990 afecta a la biblioteca async-http-client en versiones 2.9.0 y anteriores. Esta falla de seguridad permite que el componente CookieStore reemplace silenciosamente las cookies definidas explícitamente con las almacenadas, lo que puede resultar en el uso de las cookies de un usuario para las solicitudes de otro. La actualización a la versión 2.12.4 corrige esta vulnerabilidad.
El impacto principal de esta vulnerabilidad radica en la posibilidad de robo de sesiones y la suplantación de identidad. Un atacante podría aprovechar esta falla para interceptar o modificar las cookies de sesión de un usuario legítimo, obteniendo acceso no autorizado a su cuenta o a información sensible. En entornos multiusuario, el riesgo se amplifica, ya que un atacante podría afectar a múltiples usuarios simultáneamente. Esta vulnerabilidad se asemeja a problemas de manejo de cookies que han afectado a otras bibliotecas y frameworks, donde la falta de validación adecuada puede llevar a la manipulación de las cookies.
La vulnerabilidad fue descubierta y reportada públicamente en diciembre de 2024. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de un Proof of Concept (PoC) aumenta el riesgo de que sea explotada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La vulnerabilidad ha sido agregada al catálogo KEV de CISA.
Applications utilizing Async HTTP Client versions 2.9.0 and earlier, particularly those deployed in multi-user environments or handling sensitive data, are at significant risk. Shared hosting environments where multiple applications share the same Async HTTP Client instance are especially vulnerable, as a compromise in one application could potentially impact others.
• java / application: Monitor application logs for unexpected cookie values or unusual user activity. Examine request payloads for attempts to inject malicious cookies. • java / dependency: Use dependency scanning tools to identify instances of vulnerable Async HTTP Client versions in your projects.
./mvn dependency:tree | grep 'org.asynchttpclient:async-http-client' • generic web: Inspect HTTP response headers for unexpected cookie values. Use browser developer tools to monitor cookie behavior during user sessions. • generic web: Check for unusual user sessions or login attempts in application logs.
disclosure
poc
patch
Estado del Exploit
EPSS
0.33% (55% percentil)
CISA SSVC
La mitigación principal es actualizar a la versión 2.12.4 de async-http-client. Si la actualización no es inmediatamente posible, se recomienda revisar y fortalecer la validación de las cookies en la aplicación. Implementar medidas de seguridad adicionales, como el uso de cookies con atributos HttpOnly y Secure, puede ayudar a reducir el riesgo de explotación. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes con cookies sospechosas. La versión corregida incluye una validación mejorada para evitar la sustitución de cookies.
Actualice la biblioteca AsyncHttpClient a la versión 2.5.4 o superior. Esta versión corrige la vulnerabilidad que permite la sustitución de cookies definidas explícitamente por cookies almacenadas en el CookieStore, evitando así posibles problemas de seguridad relacionados con la gestión de sesiones de usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-53990 is a critical vulnerability in Async HTTP Client versions up to 2.9.0 where the CookieStore silently replaces explicit cookies, potentially leading to user session hijacking.
If you are using Async HTTP Client versions 2.9.0 or earlier, you are potentially affected by this vulnerability. Upgrade to 2.12.4 to mitigate the risk.
The recommended fix is to upgrade to version 2.12.4 or later. If an upgrade is not immediately possible, disable the automatic CookieStore and manage cookies explicitly.
While no active exploitation campaigns have been publicly confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Async HTTP Client GitHub issue for details: https://github.com/AsyncHttpClient/async-http-client/issues/1964
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.