CRITICAL🇬🇧 English

CVE-2023-51784

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVSS 9.8v3.1pub. 2024-01-03upd. 2025-05-16

Apache InLong w wersjach od 1.5.0 do 1.9.0 zawiera krytyczną podatność typu code injection (CWE-94), która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, podatność niesie bardzo wysokie ryzyko kompromitacji systemu.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability in Apache InLong.This issue affects Apache InLong: from 1.5.0 through 1.9.0, which could lead to Remote Code Execution. Users are advised to upgrade to Apache InLong's 1.10.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/9329

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nad generowaniem kodu (Improper Control of Generation of Code). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które zostaną nieprawidłowo przetworzone przez aplikację i wykonane jako kod po stronie serwera. Atak nie wymaga żadnych uprawnień ani interakcji użytkownika, co znacznie obniża próg jego przeprowadzenia.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa Apache InLong — w tym możliwość odczytu, modyfikacji lub usunięcia danych, a także dalszego poruszania się po sieci wewnętrznej (lateral movement). Podatność prowadzi do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Apache InLong do wersji 1.10.0. Alternatywnie można zastosować cherry-pick poprawki dostępnej w pull requeście: https://github.com/apache/inlong/pull/9329.

Kogo dotyczy

Apache InLong w wersjach od 1.5.0 do 1.9.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Inlong

    APP
    Apache
    1.5.0 – 1.10.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-27531CRITICAL9.8PL ✓ten sam produkt

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVE-2025-27528CRITICAL9.1PL ✓ten sam produkt

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVE-2024-36268CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26579CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVE-2024-26580CRITICAL9.1PL ✓ten sam produkt

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVE-2023-51784 — Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE) — CRITICAL 9.8 | CVEbaza.pl