Se ha revelado una falla de seguridad de alta gravedad en la herramienta de transformación y limpieza de datos OpenRefine de código abierto que podría resultar en la ejecución de código arbitrario en los sistemas afectados.
Seguimiento como CVE-2023-37476 (Puntuación CVSS: 7,8), la vulnerabilidad es una vulnerabilidad Zip Slip que podría tener impactos adversos al importar un proyecto especialmente diseñado en las versiones 3.7.3 y anteriores.
«Aunque OpenRefine está diseñado para ejecutarse sólo localmente en la máquina de un usuario, un atacante puede engañar a un usuario para que importe un archivo de proyecto malicioso», afirma el investigador de seguridad de Sonar, Stefan Schiller. dicho en un informe publicado la semana pasada. «Una vez importado este archivo, el atacante puede ejecutar código arbitrario en la máquina del usuario».
El software propenso a sufrir vulnerabilidades Zip Slip puede allanar el camino para la ejecución de código aprovechando un error de recorrido de directorio que un atacante puede explotar para obtener acceso a partes del sistema de archivos que de otro modo deberían estar fuera de su alcance.
El ataque se basa en dos partes móviles: un archivo malicioso y un código de extracción que no realiza una verificación de validación adecuada, lo que puede permitir sobrescribir archivos o descomprimirlos en ubicaciones no deseadas.
Los archivos extraídos pueden ser invocados de forma remota por el adversario o por el sistema (o usuario), lo que da como resultado la ejecución del comando en la máquina de la víctima.
La vulnerabilidad identificada en OpenRefine es similar en el sentido de que el método «untar» para extraer los archivos del archivo permite a un mal actor escribir archivos fuera de la carpeta de destino creando un archivo con un archivo llamado «../../. ./../tmp/pwned.»
Tras la divulgación responsable el 7 de julio de 2023, la vulnerabilidad se ha solucionado en versión 3.7.4 lanzado el 17 de julio de 2023.
«La vulnerabilidad les da a los atacantes una fuerte primitiva: escribir archivos con contenido arbitrario en una ubicación arbitraria en el sistema de archivos», dijo Schiller.
«Para las aplicaciones que se ejecutan con privilegios de root, existen docenas de posibilidades para convertir esto en la ejecución de código arbitrario en el sistema operativo: agregar un nuevo usuario al archivo passwd, agregar una clave SSH, crear un trabajo cron y más».
La divulgación se produce cuando el código de explotación de prueba de concepto (PoC) ha emergió para par de fallas ahora parcheadas en Microsoft SharePoint Server – CVE-2023-29357 (Puntuación CVSS: 9,8) y CVE-2023-24955 (Puntuación CVSS: 7,2): que podría encadenarse para lograr una escalada de privilegios y la ejecución remota de código.
También sigue a una alerta de Cyfirma que advierte de un error de alta gravedad en Apache NiFi (CVE-2023-34468puntuación CVSS: 8,8) que permite la ejecución remota de código a través de cadenas de conexión de bases de datos H2 maliciosas. Ha sido resuelto en Apache NiFi 1.22.0.
«El impacto de esta vulnerabilidad es severo, ya que otorga a los atacantes la capacidad de obtener acceso no autorizado a los sistemas, filtrar datos confidenciales y ejecutar códigos maliciosos de forma remota», dijo la firma de ciberseguridad. dicho. «Un atacante podría aprovechar esta falla para comprometer la integridad de los datos, interrumpir las operaciones y potencialmente causar daños financieros y de reputación».