Se ha reportado una vulnerabilidad de severidad alta que podría permitir a un actor malicioso la ejecución de código mediante una técnica de path traversal en Apache Sling Servlets Resolver.
Productos afectados:
- Apache Sling Servlets Resolver < 2.11.0
Impacto:
Se ha asignado el identificador CVE-2024-23673 asociándolo con un nivel de severidad alta y una puntuación en CVSSv3 de 8.5. Esta vulnerabilidad depende exclusivamente de una configuración particular en el sistema afectado. Si se cumple la condición anterior en un sistema afectado por la vulnerabilidad, un usuario con acceso de escritura al repositorio de aplicaciones en Sling Servlets a través de enlaces especialmente diseñados podría forzar al servidor a ejecutar scripts maliciosos previamente subidos al sistema afectado.
Recomendación:
Se recomienda a los usuarios actualizar a la versión más reciente, que contiene los parches correspondientes para el software afectado.
Enlaces de referencia:
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-23673
- https://www.openwall.com/lists/oss-security/2024/02/06/1
- https://lists.apache.org/thread/5zzx8ztwc6tmbwlw80m2pbrp3913l2kl