Vulnerabilidad CVE-2022-46751 en Apache Ivy

En el ámbito de la ciberseguridad, las debilidades en el software son una preocupación constante. La seguridad de los servidores web, esenciales para la conectividad y la entrega de contenido en línea, ha sido un enfoque continuo. Entre estos servidores, el ampliamente usado Apache HTTP Server, conocido como Apache, destaca. Aunque vital en la infraestructura web, Apache no está exento de vulnerabilidades debido a su naturaleza como software.

La vulnerabilidad CVE-2022-46751 en Apache Ivy (versión previa a 2.5.2) permitía a atacantes insertar código malicioso en archivos XML (Extensible Markup Language) procesados. Esto se originaba en la capacidad de Ivy para interpretar definiciones externas de tipos de documentos (DTD) en archivos XML. Los atacantes podían aprovechar esta debilidad al crear DTD con enlaces a archivos externos, que al ser procesados por Ivy permitían operaciones maliciosas. La falla CVE-2022-46751 permitió a los atacantes:

  • Exfiltración de datos confidenciales.
  • Acceda a recursos exclusivos que solo la máquina host que ejecuta Ivy puede conocer.
  • Interrumpir o descarrilar las operaciones estándar de Ivy.

Producto Afectado.

Apache Ivy en versiones 1.4.1 – 2.5.1.

Solución.

Parche de seguridad en la versión 2.5.2.

Recomendación.

El equipo de Apache Ivy respondió a la gravedad de la situación en la versión 2.5.2, deshabilitando por defecto el procesamiento de DTD. Para versiones anteriores, se recomienda usar propiedades del sistema Java para protegerse, pero la acción más prudente es actualizar a la última versión para aprovechar las mejoras de seguridad.

Referencias.