CRITICAL🇬🇧 English

CVE-2023-51388

Apache Hertzbeat — script injection via AviatorEvaluator (RCE)

CVSS 9.8v3.1pub. 2024-02-22upd. 2025-01-16

W systemie monitorowania Apache Hertzbeat wykryto krytyczną podatność typu script injection, umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia. Wynika ona z braku polityki bezpieczeństwa przy bezpośrednim wykonywaniu wyrażeń AviatorScript.

Pokaż oryginał (EN)

Hertzbeat is a real-time monitoring system. In `CalculateAlarm.java`, `AviatorEvaluator` is used to directly execute the expression function, and no security policy is configured, resulting in AviatorScript (which can execute any static method by default) script injection. Version 1.4.1 fixes this vulnerability.

🤖 Analiza AI
Jak działa

W pliku `CalculateAlarm.java` komponent `AviatorEvaluator` wykonuje wyrażenia przekazane jako dane wejściowe bez żadnych ograniczeń bezpieczeństwa. Silnik AviatorScript domyślnie umożliwia wywoływanie dowolnych statycznych metod Javy, co oznacza, że atakujący może wstrzyknąć złośliwe wyrażenie i wykonać arbitralny kod na poziomie systemu operacyjnego. Brak konfiguracji polityki bezpieczeństwa (sandbox) sprawia, że exploit jest trywialny do przeprowadzenia zdalnie, bez uwierzytelnienia.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad systemem, ujawnienia danych, modyfikacji konfiguracji lub całkowitego naruszenia dostępności usługi.

Mitygacja

Należy zaktualizować Apache Hertzbeat do wersji 1.4.1, która eliminuje tę podatność poprzez wprowadzenie odpowiedniej polityki bezpieczeństwa dla AviatorEvaluator. Szczegóły patcha dostępne w referencjach producenta na GitHub.

Kogo dotyczy

Apache Hertzbeat w wersjach poprzedzających 1.4.1

Uwagi

Podatność została naprawiona w wersji 1.4.1. Szczegóły techniczne oraz commit naprawczy dostępne w repozytorium projektu na GitHub (GHSA-mcqg-gqxr-hqgj).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Hertzbeat

    APP
    Apache
    < 1.4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-51653CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — JNDI injection RCE przez endpoint JMX

CVE-2023-51389CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — YAML deserialization w endpoincie /define/yml

CVE-2026-24343HIGH8.8ten sam produkt

Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat...

CVE-2025-24404HIGH8.8ten sam produkt

XML Injection RCE by parse http sitemap xml response vulnerability in Apache HertzBeat. The attack...

CVE-2025-48208HIGH8.8ten sam produkt

Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache H...