CRITICAL🇬🇧 English

CVE-2024-26580

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVSS 9.1v3.1pub. 2024-03-06upd. 2025-05-07

Podatność typu deserialization of untrusted data w Apache InLong pozwala nieuwierzytelnionemu atakującemu na odczyt zawartości dowolnych plików na serwerze. Krytyczny poziom CVSS (9.1) wynika z braku wymagań dotyczących uwierzytelnienia i możliwości zdalnego wykorzystania.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Apache InLong.This issue affects Apache InLong: from 1.8.0 through 1.10.0, the attackers can use the specific payload to read from an arbitrary file. Users are advised to upgrade to Apache InLong's 1.11.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/9673

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowany payload exploitujący mechanizm deserializacji w Apache InLong. Podatność wynika z nieprawidłowej obsługi niezaufanych danych wejściowych podczas procesu deserializacji (CWE-502). Przy użyciu odpowiednio skonstruowanego payload'u możliwe jest wymuszenie na serwerze odczytu zawartości pliku o dowolnej ścieżce w systemie plików.

Skutki

Atakujący może odczytać dowolne pliki dostępne dla procesu Apache InLong na serwerze, co może prowadzić do ujawnienia poufnych danych, takich jak hasła, klucze kryptograficzne, pliki konfiguracyjne czy dane aplikacyjne. Integralność systemu może być zagrożona pośrednio poprzez pozyskane w ten sposób informacje uwierzytelniające.

Mitygacja

Należy zaktualizować Apache InLong do wersji 1.11.0 lub zastosować poprawkę cherry-pick dostępną w pull requeście https://github.com/apache/inlong/pull/9673.

Kogo dotyczy

Apache InLong w wersjach od 1.8.0 do 1.10.0 włącznie.

Uwagi

Informacja o podatności została opublikowana 6 marca 2024 r. za pośrednictwem listy dystrybucyjnej oss-security oraz oficjalnej listy Apache.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Inlong

    APP
    Apache
    1.4.0 – 1.11.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-27531CRITICAL9.8PL ✓ten sam produkt

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVE-2025-27528CRITICAL9.1PL ✓ten sam produkt

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVE-2024-36268CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26579CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVE-2023-51784CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26580 — Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików — CRITICAL 9.1 | CVEbaza.pl