Vulnerabilidad crítica RCE de Apache submarine

Se identificó una vulnerabilidad de ejecución remota de código (RCE) de nivel crítico, identificada como CVE-2023-46302, en Apache Submarine, una plataforma integral de aprendizaje automático (ML). Esta vulnerabilidad constituye una amenaza significativa para los usuarios de Apache Submarine al posibilitar que los atacantes ejecuten código arbitrario en sistemas vulnerables.

Apache Submarine utiliza JAXRS para definir los puntos finales REST fundamentales que gestionan diversas solicitudes y respuestas en la plataforma. Para abordar solicitudes YAML específicas, identificadas por el tipo de contenido «aplicación/yaml», emplea un proveedor de entidad denominado YamlEntityProvider. La vulnerabilidad se centra en el método readFrom, el cual está diseñado para analizar las solicitudes YAML entrantes. Este proceso tiene lugar en submarine-server/server-core/src/main/java/org/apache/submarine/server/utils/YamlUtils.java, donde se pasa el entityStream que contiene datos proporcionados por el usuario.

Productos Afectados

Apache Submarine versiones de 0.7.0 a 0.7.2.

Solución

  • Actualizar a la versión 0.8.0, que resume la solución necesaria.

Recomendación:

Se aconseja a los usuarios realizar la actualización a la versión 0.8.0, que engloba la solución requerida. No obstante, para aquellos que no puedan o prefieran no actualizar de inmediato a la versión más reciente, hay una opción disponible. Los usuarios tienen la posibilidad de seleccionar manualmente la solicitud de extracción (PR) relevante y reconstruir la imagen de su servidor Submart. Esta solución alternativa proporciona una medida temporal para abordar la vulnerabilidad.

Referencias: