Se han reportado 3 vulnerabilidades de severidad alta para el repositorio de proyectos y distribución de paquetes para equipos de desarrollo de software Artifactory de JFrog.
Productos Afectados:
- Artifactory On Premise < 7.82.1
Impacto de la Vulnerabilidad:
- CVE-2024-4142: Se ha asignado una puntuación en CVSSv3 de 9.0, con una severidad crítica. Se trata de una vulnerabilidad de validación de entrada incorrecta que permitiría a un usuario con bajos privilegios obtener acceso administrativo, lo que podría llevar a un escalamiento de privilegios(EoP). Esta falla también podría ser explotada en implementaciones de Artifactory con acceso anónimo habilitado.
- CVE-2024-3505: Se ha asignado una puntuación en CVSSv3 de 4.3, con una severidad media. Esta vulnerabilidad podría permitir a un usuario con privilegios mínimos, leer la configuración del proxy en versiones On Premise de JFrog Artifactory anteriores a la 7.77.3.
- CVE-2024-2247: Se ha asignado una puntuación en CVSSv3 de 8.8, con una severidad alta. Esta vulnerabilidad de tipo Cross-Site Scripting (XSS) basado en DOM (Document Object Model) en versiones anteriores a la 7.77.7 y 7.82.1 de JFrog Artifactory, ocasionado la implementación de un control inadecuado del mecanismo de anulación de importaciones.
Recomendación:
Se recomienda actualizar a la última versión, proveída por el fabricante del software que contiene el parche que mitiga la vulnerabilidad.
Referencias:
- https://jfrog.com/download-jfrog-platform/
- https://jfrog.com/help/r/jfrog-release-information/cve-2024-4142-improper-input-validation-in-artifactory-token-creation-flow
- https://jfrog.com/help/r/jfrog-release-information/cve-2024-3505-proxy-configuration-accessible-to-low-privilege-users
- https://jfrog.com/help/r/jfrog-release-information/cve-2024-2247-jfrog-artifactory-cross-site-scripting