Se han descubierto vulnerabilidades de severidad alta en Apache Jena. Un actor malicioso podría manipular archivos de configuración y referenciar archivos localizados fuera de la estructura del directorio de la aplicación.
Productos afectados
- Apache Jena, versiones 5.4.0 y anteriores.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-50151: con una puntuación de 8.8 en CVSS v3.1. La vulnerabilidad se debe a una falta de validación de rutas de acceso de archivos de configuración cargados desde la interfaz administrativa. Un actor malicioso con privilegios de administrador podría aprovechar la vulnerabilidad para cargar archivos de configuración que contienen referencias a rutas maliciosas que evaden límites de seguridad.
CVE-2025-49656: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de salto de directorio debido a una inadecuada validación de rutas en la interfaz de usuario administrativa. Un actor malicioso con privilegios de administrador podría aprovechar la vulnerabilidad para manipular archivos de configuración, archivos de registro y ejecutar código arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-50151
- https://nvd.nist.gov/vuln/detail/CVE-2025-49656
- https://lists.apache.org/thread/12gks5z40gh9bszn1xk8mz34gz586xss
- https://lists.apache.org/thread/qmm21som8zct813vx6dfd1phnfro6mwq