CRITICAL🇬🇧 English

CVE-2024-28212

RCE w Naver nGrinder — niebezpieczna deserializacja przez SnakeYAML

CVSS 9.8v3.1pub. 2024-03-07upd. 2025-05-07

Naver nGrinder w wersjach przed 3.5.9 korzysta ze starej wersji biblioteki SnakeYAML, która zawiera podatność na niebezpieczną deserializację. Zdalny atakujący bez uwierzytelnienia może wykonać dowolny kod na serwerze.

Pokaż oryginał (EN)

nGrinder before 3.5.9 uses old version of SnakeYAML, which could allow remote attacker to execute arbitrary code via unsafe deserialization.

🤖 Analiza AI
Jak działa

Podatność wynika z użycia przestarzałej wersji biblioteki SnakeYAML, która nie zabezpiecza odpowiednio procesu deserializacji danych YAML. Atakujący może przesłać specjalnie spreparowany payload YAML, który podczas przetwarzania przez aplikację doprowadzi do wykonania złośliwego kodu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni podatność szczególnie poważną.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE) na serwerze z uprawnieniami aplikacji nGrinder, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować nGrinder do wersji 3.5.9 lub nowszej, w której zastosowano aktualną wersję biblioteki SnakeYAML eliminującą podatność na niebezpieczną deserializację.

Kogo dotyczy

Naver nGrinder w wersjach przed 3.5.9

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Naver Ngrinder

    APP
    Naver
    < 3.5.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2024-28211CRITICAL9.8PL ✓ten sam produkt

Naver nGrinder — RCE przez złośliwy serwer JMX/RMI

CVE-2024-28213CRITICAL9.8PL ✓ten sam produkt

RCE przez niebezpieczną deserializację obiektów Java w Naver nGrinder

CVE-2024-28215HIGH7.5ten sam produkt

nGrinder before 3.5.9 allows an attacker to create or update webhook configuration due to lack of access contr...

CVE-2024-28216MEDIUM5.4ten sam produkt

nGrinder before 3.5.9 allows an attacker to obtain the results of webhook requests due to lack of access contr...

CVE-2016-5060MEDIUM6.1ten sam produkt

Multiple cross-site scripting (XSS) vulnerabilities in nGrinder before 3.4 allow remote attackers to inject ar...

CVE-2024-28212 — RCE w Naver nGrinder — niebezpieczna deserializacja przez SnakeYAML — CRITICAL 9.8 | CVEbaza.pl