Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Apache Zeppelin, que permitirían a un atacante remoto enviar una solicitud especialmente diseñada para eliminar archivos de manera arbitraria y obtener credenciales de autenticación del sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) sin severidad asignada aún. Las mismas se detallan a continuación:
- CVE-2021-28655 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada en la característica «Mover carpeta a la papelera» de Apache Zeppelin. Esto permitiría a un atacante remoto eliminar archivos arbitrarios en el sistema afectado.
- CVE-2022-46870 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada durante la generación de páginas web en Apache Zeppelin. Esto permitiría a un atacante remoto ejecutar JavaScript arbitrario y obtener credenciales de autenticación en el sistema afectado.
Las versiones afectadas de Apache Zeppelin son:
- Versión 0.9.0 y anteriores por CVE-2021-28655.
- Versión 0.8.1 y anteriores por CVE-2022-46870.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias: