El Ataque Camaleón: Escalada de Privilegios en Apache StreamPipes (CVE-2025-47411)
En la Industria 4.0, asumimos que las brechas requieren criptografía avanzada. El CVE-2025-47411 nos demuestra lo contrario: los fallos más críticos suelen ser puramente arquitectónicos.
El Fallo: La Trampa del Data Binding
Apache StreamPipes utiliza Data Binding para convertir automáticamente JSON en Objetos Java. La vulnerabilidad nace de un atajo peligroso: Reutilizar DTOs (Data Transfer Objects). El servidor usa la misma clase para enviarte datos (Salida) que para recibirlos (Entrada).
¿POR QUÉ FALLA EL MASS ASSIGNMENT TRADICIONAL?
Un atacante novato enviaría un JSON plano:
Resultado: 400 Bad Request. Las estructuras empresariales son complejas y anidadas; un JSON simple rompe la validación del esquema.
{"username": "user", "roles": ["ADMIN"]}Resultado: 400 Bad Request. Las estructuras empresariales son complejas y anidadas; un JSON simple rompe la validación del esquema.
La Técnica "Camaleón" (Read-Modify-Write)
Para eludir la validación, no adivinamos la estructura. La robamos.
- READ: Obtenemos nuestro perfil vía
GET /users/self. El servidor nos entrega el JSON perfecto y válido. - MODIFY: Tomamos ese JSON e inyectamos
ROLE_ADMINen la estructura profunda, manteniendo la integridad del resto del objeto. - WRITE: Enviamos el objeto mutado vía
PUT /users/self. Al ser la estructura que el servidor generó, pasa todas las defensas.
// Payload de Mutación Recursiva
{
"user_id": "9921",
"profile": {
"settings": [...],
"permissions": ["ROLE_ADMIN"]
}
}
{
"user_id": "9921",
"profile": {
"settings": [...],
"permissions": ["ROLE_ADMIN"]
}
}
La Solución: Segregación de Modelos
La defensa es clara: Segregar los DTOs.
- ResponseDTO: Para enviar datos (incluye roles).
- RequestDTO: Para recibir actualizaciones (excluye campos sensibles).
"Si usas la misma clase para ambos, le estás entregando las llaves del castillo al usuario, pidiéndole amablemente que no las use."
> SYSTEM_READY > NODE_ONLINE
< session_end // node: exit >