CVE-2022-44730

MITJÀ: (5,5)

CVSS3: 4,8

Apache Batik és vulnerable a la falsificació d’ordres per la banda del servidor. Això seria causat per una validació inadequada de l’entrada. Convencent una víctima per obrir un fitxer SVG especialment elaborat, l’atacant podria aprofitar aquesta vulnerabilitat per realitzar un atac SSRF per tal d’analitzar el/s perfil/s de dades de l’usuari i enviar-los directament com a paràmetre a un URL.

Sistemes Afectats

• Apache Batik 1.0
• Apache Batik 1.16

Remediació
Actualitzeu a l’última versió d’Apache Batik (1.17 o posterior), disponible en el lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://xmlgraphics.apache.org/batik/
• https://seclists.org/oss-sec/2023/q3/119
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-44730