CVE-2026-24343

Apache HertzBeat: Uncontrolled Resource Consumption via Crafted XPath Expressions

CVSS 8.8 HIGHEPSS 0.7%CWE-643

En resumen

Apache HertzBeat contiene una vulnerabilidad donde los atacantes pueden inyectar expresiones XPath maliciosas para consumir recursos excesivos del servidor, dejando la aplicación lenta o inaccesible. Afecta versiones de 1.7.1 hasta 1.8.0, y se recomienda encarecidamente actualizar.

Detalle técnico

Vulnerabilidad de inyección XPath en Apache HertzBeat (1.7.1 hasta <1.8.0) permite que atacantes creen expresiones XPath diseñadas para desencadenar consumo descontrolado de recursos, resultando en denegación de servicio. La falla se origina en la neutralización inadecuada de entrada proporcionada por el usuario en consultas XPath, posibilitando la manipulación de la ejecución y el agotamiento de recursos del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat. This issue affects Apache HertzBeat: from 1.7.1 before 1.8.0. Users are recommended to upgrade to version 1.8.0, which fixes the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Apache Software Foundation · Apache HertzBeat

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.apache.org/thread/b2k3jqwffrbo2sy6bl4n0f68kp8bfo1n http://www.openwall.com/lists/oss-security/2026/02/09/4