{"id":504129,"date":"2022-12-01T18:54:57","date_gmt":"2022-12-01T18:54:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-revelan-una-vulnerabilidad-critica-de-rce-que-afecta-al-marco-java-de-quarkus\/"},"modified":"2022-12-01T18:54:59","modified_gmt":"2022-12-01T18:54:59","slug":"los-investigadores-revelan-una-vulnerabilidad-critica-de-rce-que-afecta-al-marco-java-de-quarkus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-revelan-una-vulnerabilidad-critica-de-rce-que-afecta-al-marco-java-de-quarkus\/","title":{"rendered":"Los investigadores revelan una vulnerabilidad cr\u00edtica de RCE que afecta al marco Java de Quarkus"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha revelado una vulnerabilidad de seguridad cr\u00edtica en el marco Quarkus Java que podr\u00eda explotarse potencialmente para lograr la ejecuci\u00f3n remota de c\u00f3digo en los sistemas afectados.<\/p>\n<p>rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-4116\" target=\"_blank\">CVE-2022-4116<\/a> (Puntuaci\u00f3n CVSS: 9,8), un actor malintencionado sin privilegios podr\u00eda abusar trivialmente de la deficiencia.<\/p>\n<p>&#8220;La vulnerabilidad se encuentra en Dev UI Config Editor, que es vulnerable a ataques de host local que podr\u00edan conducir a la ejecuci\u00f3n remota de c\u00f3digo (RCE)&#8221;, Joseph Beeton, investigador de Contrast Security, quien inform\u00f3 el error. <a rel=\"nofollow noopener\" href=\"https:\/\/www.contrastsecurity.com\/security-influencers\/localhost-attack-against-quarkus-developers-contrast-security\" target=\"_blank\">dijo<\/a> en un escrito.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Quarkus, desarrollado por Red Hat, es un <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/about\/\" target=\"_blank\">proyecto de c\u00f3digo abierto<\/a> que se utiliza para crear aplicaciones Java en <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Containerization_(computing)\" target=\"_blank\">contenedorizado<\/a> y entornos sin servidor.<\/p>\n<p>Vale la pena se\u00f1alar que el <a rel=\"nofollow noopener\" href=\"https:\/\/access.redhat.com\/security\/cve\/CVE-2022-4116\" target=\"_blank\">tema<\/a> solo afecta a los desarrolladores que ejecutan Quarkus y son enga\u00f1ados para que visiten un sitio web especialmente dise\u00f1ado, que est\u00e1 incrustado con un c\u00f3digo JavaScript malicioso dise\u00f1ado para instalar o ejecutar cargas \u00fatiles arbitrarias.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"marco Java de Quarkus\" border=\"0\" data-original-height=\"447\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1669920897_123_Los-investigadores-revelan-una-vulnerabilidad-critica-de-RCE-que-afecta.png\" title=\"marco Java de Quarkus\"\/><\/div>\n<p>Esto podr\u00eda tomar la forma de un ataque de spear-phishing o de un pozo de agua sin requerir ninguna interacci\u00f3n adicional por parte de la v\u00edctima.  Alternativamente, el ataque se puede llevar a cabo mediante la publicaci\u00f3n de anuncios maliciosos en sitios web populares frecuentados por desarrolladores.<\/p>\n<p>los <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/guides\/dev-ui\" target=\"_blank\">IU de desarrollo<\/a>que se ofrece a trav\u00e9s de un <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/guides\/dev-mode-differences\" target=\"_blank\">Modo de desarrollo<\/a>est\u00e1 obligado a <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Localhost\" target=\"_blank\">servidor local<\/a> (es decir, el host actual) y permite a un desarrollador monitorear el estado de una aplicaci\u00f3n, cambiar la configuraci\u00f3n, migrar bases de datos y borrar cach\u00e9s.<\/p>\n<p>Debido a que est\u00e1 restringida a la m\u00e1quina local del desarrollador, la interfaz de usuario de Dev tambi\u00e9n carece de controles de seguridad cruciales como la autenticaci\u00f3n y el uso compartido de recursos de origen cruzado (<a rel=\"nofollow noopener\" href=\"https:\/\/web.dev\/cross-origin-resource-sharing\/\" target=\"_blank\">CORS<\/a>) para evitar que un sitio web fraudulento lea los datos de otro sitio.<\/p>\n<p>El problema identificado por Contrast Security radica en el hecho de que el c\u00f3digo JavaScript alojado en un sitio web con malware puede convertirse en un arma para modificar la configuraci\u00f3n de la aplicaci\u00f3n Quarkus a trav\u00e9s de un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/CORS#simple_requests\" target=\"_blank\">Solicitud HTTP POST<\/a> para desencadenar la ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>&#8220;Si bien solo afecta el modo Dev, el impacto sigue siendo alto, ya que podr\u00eda llevar a un atacante a obtener acceso local a su caja de desarrollo&#8221;, Quarkus. <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/blog\/quarkus-2-14-2-final-released\/\" target=\"_blank\">se\u00f1alado<\/a> en una asesor\u00eda independiente.<\/p>\n<p>Se recomienda a los usuarios que actualicen a la versi\u00f3n 2.14.2.Final y 2.13.5.Final para protegerse contra la falla.  Una posible soluci\u00f3n es mover todos los puntos finales que no son de aplicaci\u00f3n a una ruta ra\u00edz aleatoria.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-disclose-critical-rce.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha revelado una vulnerabilidad de seguridad cr\u00edtica en el marco Quarkus Java que podr\u00eda explotarse potencialmente para<\/p>\n","protected":false},"author":1,"featured_media":504130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,734,4661,4664,2458,4662,12583,4770,4668,4667,36,140,4654,4658,4659,4653,4655,4663,129598,22592,2922,4666,4665,158,4014,4660],"class_list":["post-504129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-afecta","tag-ataques-ciberneticos","tag-como-hackear","tag-critica","tag-filtracion-de-datos","tag-investigadores","tag-java","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-marco","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-quarkus","tag-rce","tag-revelan","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/504129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=504129"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/504129\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/504130"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=504129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=504129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=504129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}