CRITICAL🇬🇧 English

CVE-2023-51653

Apache Hertzbeat — JNDI injection RCE przez endpoint JMX

CVSS 9.8v3.1pub. 2024-02-22upd. 2025-01-16

Apache Hertzbeat zawiera podatność typu JNDI injection w module kolekcji JMX, umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Podatność jest krytyczna — atakujący z dostępem sieciowym może przejąć pełną kontrolę nad systemem.

Pokaż oryginał (EN)

Hertzbeat is a real-time monitoring system. In the implementation of `JmxCollectImpl.java`, `JMXConnectorFactory.connect` is vulnerable to JNDI injection. The corresponding interface is `/api/monitor/detect`. If there is a URL field, the address will be used by default. When the URL is `service:jmx:rmi:///jndi/rmi://xxxxxxx:1099/localHikari`, it can be exploited to cause remote code execution. Version 1.4.1 contains a fix for this issue.

🤖 Analiza AI
Jak działa

Podatność tkwi w klasie `JmxCollectImpl.java`, w wywołaniu `JMXConnectorFactory.connect`, które nie weryfikuje poprawności przekazanego adresu URL. Endpoint `/api/monitor/detect` przyjmuje pole URL i jeśli wartość ma postać `service:jmx:rmi:///jndi/rmi://[host]:1099/[zasób]`, zostaje ona bezpośrednio przekazana do mechanizmu JNDI. Atakujący może wskazać złośliwy serwer RMI pod własną kontrolą, co skutkuje załadowaniem i wykonaniem dowolnego kodu po stronie serwera.

Skutki

Nieuwierzytelniony atakujący zdalny może uzyskać pełną kontrolę nad serwerem — odczytać poufne dane, zmodyfikować lub zniszczyć dane oraz zdestabilizować działanie systemu (pełna triada: poufność, integralność, dostępność).

Mitygacja

Należy zaktualizować Apache Hertzbeat do wersji 1.4.1, która zawiera poprawkę dla tego problemu. Szczegóły dostępne w repozytorium producenta (commit f794b0d82be49c596c04a042976446559eb315ef).

Kogo dotyczy

Apache Hertzbeat w wersjach poprzedzających 1.4.1

Uwagi

Poprawka została opublikowana w wersji 1.4.1 i opisana w security advisory GHSA-gcmp-vf6v-59gg na GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Hertzbeat

    APP
    Apache
    < 1.4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-51389CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — YAML deserialization w endpoincie /define/yml

CVE-2023-51388CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — script injection via AviatorEvaluator (RCE)

CVE-2026-24343HIGH8.8ten sam produkt

Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat...

CVE-2025-24404HIGH8.8ten sam produkt

XML Injection RCE by parse http sitemap xml response vulnerability in Apache HertzBeat. The attack...

CVE-2025-48208HIGH8.8ten sam produkt

Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache H...