Vulnerabilidades de eliminación arbitraria de archivos e inserción de comandos en Apache Zeppelin 

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Apache Zeppelin, que permitirían a un atacante remoto enviar una solicitud especialmente diseñada para eliminar archivos de manera arbitraria y obtener credenciales de autenticación del sistema afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) sin severidad asignada aún. Las mismas se detallan a continuación: 

• CVE-2021-28655 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada en la característica «Mover carpeta a la papelera» de Apache Zeppelin. Esto permitiría a un atacante remoto eliminar archivos arbitrarios en el sistema afectado. 

• CVE-2022-46870 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada durante la generación de páginas web en Apache Zeppelin. Esto permitiría a un atacante remoto ejecutar JavaScript arbitrario y obtener credenciales de autenticación en el sistema afectado. 

Las versiones afectadas de Apache Zeppelin son:  

• Versión 0.9.0 y anteriores por CVE-2021-28655. 
• Versión 0.8.1 y anteriores por CVE-2022-46870. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://zeppelin.apache.org/download.html 

Referencias: 

• https://securityonline.info/cve-2021-28655-apache-zeppelin-arbitrary-file-deletion/ 
•  https://nvd.nist.gov/vuln/detail/CVE-2021-28655 
• https://nvd.nist.gov/vuln/detail/CVE-2022-46870 
• https://zeppelin.apache.org/download.html