Se ha revelado una falla de seguridad crítica en el kit de desarrollo de software (SDK) Java de Apache Avro que, si se explota con éxito, podría permitir la ejecución de código arbitrario en instancias susceptibles.
El defecto, rastreado como CVE-2024-47561afecta a todas las versiones del software anteriores a la 1.11.4.
“El análisis de esquemas en el SDK de Java de Apache Avro 1.11.3 y versiones anteriores permite a los malos actores ejecutar código arbitrario”, afirman los mantenedores del proyecto. dicho en un aviso publicado la semana pasada. “Se recomienda a los usuarios actualizar a versión 1.11.4 o 1.12.0, que solucionan este problema.”
Apache Avro, análogo a los Protocol Buffers de Google (protobuf), es un proyecto de código abierto que proporciona un idioma neutral marco de serialización de datos para el procesamiento de datos a gran escala.
El equipo de Avro señala que la vulnerabilidad afecta a cualquier aplicación si permite a los usuarios proporcionar sus propios esquemas Avro para su análisis. A Kostya Kortchinsky, del equipo de seguridad de Databricks, se le atribuye el mérito de descubrir e informar la deficiencia de seguridad.
Como mitigación, se recomienda desinfectar los esquemas antes de analizarlos y evitar analizar los esquemas proporcionados por el usuario.
“CVE-2024-47561 afecta a Apache Avro 1.11.3 y versiones anteriores al deserializar la entrada recibida a través del esquema avroAvro”, dijo Mayuresh Dani, gerente de investigación de amenazas en Qualys, en un comunicado compartido con The Hacker News.
“Procesar dicha entrada de un actor de amenazas conduce a la ejecución de código. Según nuestros informes de inteligencia de amenazas, no hay PoC disponible públicamente, pero esta vulnerabilidad existe mientras se procesan paquetes a través de Directivas ReflectData y SpecificData y también se puede explotar a través de Kafka.”
“Dado que Apache Avro es un proyecto de código abierto, lo utilizan muchas organizaciones. Según datos disponibles públicamente, la mayoría de estas organizaciones están ubicadas en los EE. UU. Esto definitivamente tiene muchas implicaciones de seguridad si no se parchea, no supervisa y desprotege. “