Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los investigadores revelan una vulnerabilidad crítica de RCE que afecta al marco Java de Quarkus
  • Tecnología

Los investigadores revelan una vulnerabilidad crítica de RCE que afecta al marco Java de Quarkus

teknomers 1 de Aralık de 2022 (Last updated: 1 de Aralık de 2022) 3 minutes read
Los investigadores revelan una vulnerabilidad crítica de RCE que afecta


Se ha revelado una vulnerabilidad de seguridad crítica en el marco Quarkus Java que podría explotarse potencialmente para lograr la ejecución remota de código en los sistemas afectados.

rastreado como CVE-2022-4116 (Puntuación CVSS: 9,8), un actor malintencionado sin privilegios podría abusar trivialmente de la deficiencia.

“La vulnerabilidad se encuentra en Dev UI Config Editor, que es vulnerable a ataques de host local que podrían conducir a la ejecución remota de código (RCE)”, Joseph Beeton, investigador de Contrast Security, quien informó el error. dijo en un escrito.

La seguridad cibernética

Quarkus, desarrollado por Red Hat, es un proyecto de código abierto que se utiliza para crear aplicaciones Java en contenedorizado y entornos sin servidor.

Vale la pena señalar que el tema solo afecta a los desarrolladores que ejecutan Quarkus y son engañados para que visiten un sitio web especialmente diseñado, que está incrustado con un código JavaScript malicioso diseñado para instalar o ejecutar cargas útiles arbitrarias.

marco Java de Quarkus

Esto podría tomar la forma de un ataque de spear-phishing o de un pozo de agua sin requerir ninguna interacción adicional por parte de la víctima. Alternativamente, el ataque se puede llevar a cabo mediante la publicación de anuncios maliciosos en sitios web populares frecuentados por desarrolladores.

los IU de desarrolloque se ofrece a través de un Modo de desarrolloestá obligado a servidor local (es decir, el host actual) y permite a un desarrollador monitorear el estado de una aplicación, cambiar la configuración, migrar bases de datos y borrar cachés.

Debido a que está restringida a la máquina local del desarrollador, la interfaz de usuario de Dev también carece de controles de seguridad cruciales como la autenticación y el uso compartido de recursos de origen cruzado (CORS) para evitar que un sitio web fraudulento lea los datos de otro sitio.

El problema identificado por Contrast Security radica en el hecho de que el código JavaScript alojado en un sitio web con malware puede convertirse en un arma para modificar la configuración de la aplicación Quarkus a través de un Solicitud HTTP POST para desencadenar la ejecución del código.

“Si bien solo afecta el modo Dev, el impacto sigue siendo alto, ya que podría llevar a un atacante a obtener acceso local a su caja de desarrollo”, Quarkus. señalado en una asesoría independiente.

Se recomienda a los usuarios que actualicen a la versión 2.14.2.Final y 2.13.5.Final para protegerse contra la falla. Una posible solución es mover todos los puntos finales que no son de aplicación a una ruta raíz aleatoria.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Amazon cancela servicio para clientes Prime
Next: La princesa Ana y el príncipe Eduardo pueden reemplazar al rey Carlos del parlamento

Related Stories

Puse mi bomba de calor a prueba durante la ola
  • Tecnología

Puse mi bomba de calor a prueba durante la ola de calor, el aire acondicionado no resulta tan caro después de todo

teknomers 1 de Temmuz de 2026
¿Tu Mac nunca ha tenido antivirus? Afortunadamente, Intego One está
  • Tecnología

¿Tu Mac nunca ha tenido antivirus? Afortunadamente, Intego One está a 1,35€/mes para las rebajas de verano.

teknomers 1 de Temmuz de 2026
¡Nuevo golpe duro para Bill Gates! Warren Buffett suspende sus
  • Tecnología

¡Nuevo golpe duro para Bill Gates! Warren Buffett suspende sus donaciones a la Fundación Gates.

teknomers 1 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa del Mundo 2026: ¿Por qué tuvo dificultades Inglaterra contra el DR Congo?

teknomers 2 de Temmuz de 2026
  • General

Cita de Gerard Butler sobre dejar de querer agradar a todos: Cita del día por Gerard Butler: ‘Mientras hagas el mejor trabajo que puedas y no lo vuelvas soso porque estás yendo hacia un…’ – El actor de P.S. I Love You y La verdad amarga enseña lecciones de vida sobre ser fiel a uno mismo y por qué intentar agradar a todos puede sabotear tu éxito.

teknomers 2 de Temmuz de 2026
  • Deporte

Dos estrellas intercambiadas entre Boston y Filadelfia, un refuerzo para Wembanyama: el mercado de traspasos se agita en la NBA

teknomers 1 de Temmuz de 2026
  • Cultura

«De grandes trozos de piel arrancados»: Chris Brown condenado a pagar 13 millones de dólares a su ex-empleada, atacada por su perro

teknomers 1 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.