CVE-2022-38398

MITJÀ: (5.3)

CVSS3: 4.6

Apatxe Batik és vulnerable a la falsificació de peticions del costat del servidor, causada per una fallada en la funció DefaultExternalResourceSecurity. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, un atacant podria aprofitar aquesta vulnerabilitat per realitzar un atac SSRF per carregar una url a través del protocol jar.

Sistemes Afectats

• Apache Batik 1.0
• Apache Batik 1.14

Remediació
Actualitzi a l’última versió d’Apache Batik (1.15 o posterior), disponible en el lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q3/221
• https://xmlgraphics.apache.org/batik/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38398