Redazione RHC : 9 septiembre 2025 10:28
Se ha descubierto una peligrosa vulnerabilidad en Apache Jackrabbit que podría provocar la ejecución remota de código arbitrario y comprometer los sistemas empresariales. El problema está registrado como CVE-2025-58782 y afecta simultáneamente a dos componentes clave: Jackrabbit Core y JCR Commons. La falla está presente en todas las versiones, desde la 1.0.0 hasta la 2.22.1, y su gravedad es importante.
El problema está relacionado con la deserialización insegura de datos al utilizar solicitudes JNDI a repositorios JCR. Si una aplicación acepta parámetros externos para conectarse a un repositorio, un atacante puede inyectar una dirección JNDI maliciosa. El componente vulnerable interpreta el objeto codificado en el enlace, lo que permite al atacante ejecutar comandos arbitrarios en el servidor. Este escenario facilita el robo de información, la instalación de una puerta trasera o el control total de la infraestructura.
Las distribuciones que utilizan JndiRepositoryFactory para encontrar repositorios JCR son particularmente vulnerables. En este caso, una URI sustituida permite la entrega de una carga maliciosa, que el sistema procesa sin la debida verificación. Gracias a la deserialización automática, los mecanismos de seguridad integrados no previenen la explotación, y el daño potencial depende directamente del nivel de privilegio con el que se ejecuta el proceso Jackrabbit.
Uno de los desarrolladores principales del proyecto, Marcel Reutegger, confirmó el error e instó a los administradores a actualizarlo de inmediato. La corrección está incluida en la versión 2.22.2, donde las solicitudes JNDI están deshabilitadas por defecto. Quienes necesiten la función deberán habilitarla manualmente, revisando cuidadosamente toda la configuración. Se recomienda a quienes no puedan actualizar rápidamente a la nueva versión que, al menos, desactiven las búsquedas JNDI y monitoreen las conexiones sospechosas asociadas con URI externas.
El peligro radica en que esta falla se pueda automatizar mediante exploits, convirtiendo a los servidores desprotegidos en un blanco fácil. Apache Jackrabbit se utiliza ampliamente para la gestión de contenido, la búsqueda empresarial y el almacenamiento de documentos, por lo que se estima que el alcance de los posibles ataques es significativo. El proyecto registra el error como JCR-5135, y se ha publicado información al respecto en la base de datos oficial de Apache y en el catálogo CVE. El problema fue reportado por el investigador James John, a quien se agradece en el boletín.
Los expertos advierten: Dados los intentos de explotación ya reportados, retrasar la actualización es extremadamente arriesgado. Una transición oportuna a la versión 2.22.2 o la desactivación de mecanismos inseguros podría convertirse en la única barrera entre los datos corporativos y los atacantes.
RedazioneEn 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
En unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
