{"id":978238,"date":"2023-10-02T11:13:39","date_gmt":"2023-10-02T11:13:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-zip-slip-de-openrefine-podria-permitir-a-los-atacantes-ejecutar-codigo-malicioso\/"},"modified":"2023-10-02T11:13:43","modified_gmt":"2023-10-02T11:13:43","slug":"la-vulnerabilidad-zip-slip-de-openrefine-podria-permitir-a-los-atacantes-ejecutar-codigo-malicioso","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-zip-slip-de-openrefine-podria-permitir-a-los-atacantes-ejecutar-codigo-malicioso\/","title":{"rendered":"La vulnerabilidad Zip Slip de OpenRefine podr\u00eda permitir a los atacantes ejecutar c\u00f3digo malicioso"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de octubre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Vulnerabilidad \/ Ataque Cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado una falla de seguridad de alta gravedad en la herramienta de transformaci\u00f3n y limpieza de datos OpenRefine de c\u00f3digo abierto que podr\u00eda resultar en la ejecuci\u00f3n de c\u00f3digo arbitrario en los sistemas afectados.<\/p>\n

Seguimiento como CVE-2023-37476<\/strong><\/a> (Puntuaci\u00f3n CVSS: 7,8), la vulnerabilidad es una vulnerabilidad Zip Slip que podr\u00eda tener impactos adversos al importar un proyecto especialmente dise\u00f1ado en las versiones 3.7.3 y anteriores.<\/p>\n

“Aunque OpenRefine est\u00e1 dise\u00f1ado para ejecutarse s\u00f3lo localmente en la m\u00e1quina de un usuario, un atacante puede enga\u00f1ar a un usuario para que importe un archivo de proyecto malicioso”, afirma el investigador de seguridad de Sonar, Stefan Schiller. dicho<\/a> en un informe publicado la semana pasada. “Una vez importado este archivo, el atacante puede ejecutar c\u00f3digo arbitrario en la m\u00e1quina del usuario”.<\/p>\n

El software propenso a sufrir vulnerabilidades Zip Slip puede allanar el camino para la ejecuci\u00f3n de c\u00f3digo aprovechando un error de recorrido de directorio que un atacante puede explotar para obtener acceso a partes del sistema de archivos que de otro modo deber\u00edan estar fuera de su alcance.<\/p>\n

\"La<\/a><\/center><\/div>\n

El ataque se basa en dos partes m\u00f3viles: un archivo malicioso y un c\u00f3digo de extracci\u00f3n que no realiza una verificaci\u00f3n de validaci\u00f3n adecuada, lo que puede permitir sobrescribir archivos o descomprimirlos en ubicaciones no deseadas.<\/p>\n

Los archivos extra\u00eddos pueden ser invocados de forma remota por el adversario o por el sistema (o usuario), lo que da como resultado la ejecuci\u00f3n del comando en la m\u00e1quina de la v\u00edctima.<\/p>\n

La vulnerabilidad identificada en OpenRefine es similar en el sentido de que el m\u00e9todo “untar” para extraer los archivos del archivo permite a un mal actor escribir archivos fuera de la carpeta de destino creando un archivo con un archivo llamado “..\/..\/. .\/..\/tmp\/pwned.”<\/p>\n

Tras la divulgaci\u00f3n responsable el 7 de julio de 2023, la vulnerabilidad se ha solucionado en versi\u00f3n 3.7.4<\/a> lanzado el 17 de julio de 2023.<\/p>\n