CVE-2022-40146

ALT: (7.5)

CVSS3: 6.5

Apatxe Batik és vulnerable a la falsificació de peticions del costat del servidor, causada per una fallada en la funció DefaultScriptSecurity. En enviar una sol·licitud especialment dissenyada, un atacant podria aprofitar aquesta vulnerabilitat per realitzar un atac SSRF per accedir als arxius utilitzant una url de Jar.

Sistemes Afectats

• Apache Batik 1.0
• Apache Batik 1.14

Remediació
Actualitzi a l’última versió d’Apache Batik (1.15 o posterior), disponible en el lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q3/222
• https://xmlgraphics.apache.org/batik/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40146