Informazioni sul CVE-2024-43383

Apache Lucene.Net.Replicator: Remote Code Execution in Lucene.Net.Replicator

CWE ID: CWE-502

Base Score (CVSS): N/A

CVE: CVE-2024-43383

Descrizione: Deserializzazione vulnerabilità di sicurezza nella deserializzazione dei dati non fidati in Apache Lucene.Net. Questo problema si riferisce alla vulnerabilità nella libreria Replicator di Apache Lucene.NET: da 4.8.0-beta00005 fino a 4.8.0-beta00016. Un attaccante in grado di intercettare il traffico tra un client di replicazione e un server, o controllare l’URL di destinazione della replica, può fornire una risposta JSON in modo specializzato che viene deserializzata come un tipo di eccezione fornita dall’attaccante. Ciò può portare all’esecuzione di codice remoto o ad altri accessi non autorizzati. Si raccomanda agli utenti di aggiornare a versione 4.8.0-beta00017, che risolve il problema.**

Vettore di attacco CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.9 (High)

Riassunto: Accesso: Adjacent Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	A	Adjacent Network	L’attacco richiede accesso a una rete locale condivisa.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	L	Low	Richiede pochi privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

https://lists.apache.org/thread/wlz1p76dxpt4rl9o29voxjd5zl7717nh

Prodotti interessati

Apache Software Foundation – Apache Lucene.Net.Replicator

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Lucene.Net.Replicator
Anno: 2024
CWE: CWE-502
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)