Apache InLong w wersjach od 1.5.0 do 1.9.0 zawiera krytyczną podatność typu code injection (CWE-94), która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, podatność niesie bardzo wysokie ryzyko kompromitacji systemu.
▸ Pokaż oryginał (EN)
Improper Control of Generation of Code ('Code Injection') vulnerability in Apache InLong.This issue affects Apache InLong: from 1.5.0 through 1.9.0, which could lead to Remote Code Execution. Users are advised to upgrade to Apache InLong's 1.10.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/9329
Podatność wynika z nieprawidłowej kontroli nad generowaniem kodu (Improper Control of Generation of Code). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które zostaną nieprawidłowo przetworzone przez aplikację i wykonane jako kod po stronie serwera. Atak nie wymaga żadnych uprawnień ani interakcji użytkownika, co znacznie obniża próg jego przeprowadzenia.
Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa Apache InLong — w tym możliwość odczytu, modyfikacji lub usunięcia danych, a także dalszego poruszania się po sieci wewnętrznej (lateral movement). Podatność prowadzi do naruszenia poufności, integralności i dostępności systemu.
Należy niezwłocznie zaktualizować Apache InLong do wersji 1.10.0. Alternatywnie można zastosować cherry-pick poprawki dostępnej w pull requeście: https://github.com/apache/inlong/pull/9329.
Apache InLong w wersjach od 1.5.0 do 1.9.0 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Inlong
APPApache1.5.0 – 1.10.0 (bez)
Powiązane podatności
Apache InLong: deserializacja danych — odczyt dowolnych plików
Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików
Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)
Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń
Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików