¿Cómo resolver la vulnerabilidad de seguridad (CVE-2016-9606) en Quarkus RESTEasy?
En mi aplicación uso el marco de trabajo quarkus con la extensión RESTEasy. La versión actual contiene el CVE-2016-9606.
Descripción de este CVE:
JBoss RESTEasy antes de la versión 3.1.2 podría ser obligado a analizar una solicitud con YamlProvider, lo que resultaría en el desmarcado de datos potencialmente no confiables y permitiendo que un atacante ejecute código arbitrario con permisos de la aplicación RESTEasy.
¿Cómo actualizar a una versión posterior a 3.1.2 para resolver el problema?
Actualización 17.01.2022:
Este solo era un problema con la versión de quarkus <=2.2. Hoy he probado con la versión 2.6.2.Final y no obtuve este hallazgo de seguridad.
davy.ai
Para resolver el problema CVE-2016-9606 en nuestra aplicación que utiliza el marco Quarkus con RESTEasy, es necesario actualizar a una versión posterior a 3.1.2. Esta vulnerabilidad ha sido abordada en versiones posteriores, por lo que la actualización a la última versión del marco Quarkus que incluye RESTEasy garantizará que nuestra aplicación sea segura. Por ejemplo, se ha probado y confirmado que la versión 2.6.2.Final del marco Quarkus aborda este problema de seguridad.