Apache InLong w wersjach od 1.13.0 do 2.1.0 zawiera krytyczną podatność deserializacji niezaufanych danych (CWE-502), która pozwala atakującemu na ominięcie mechanizmów bezpieczeństwa modułu JDBC. Podatność umożliwia nieautoryzowany odczyt dowolnych plików z serwera bez konieczności posiadania jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Apache InLong. This issue affects Apache InLong: from 1.13.0 through 2.1.0. This vulnerability allows attackers to bypass the security mechanisms of InLong JDBC and leads to arbitrary file reading. Users are advised to upgrade to Apache InLong's 2.2.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/11747
Podatność wynika z nieprawidłowej obsługi deserializacji danych w komponencie InLong JDBC. Atakujący wysyła spreparowane, złośliwe dane, które są deserializowane przez aplikację bez odpowiedniej walidacji ich pochodzenia i zawartości. Mechanizm deserializacji przetwarza dane wejściowe w sposób pozwalający na ominięcie wbudowanych zabezpieczeń JDBC. W efekcie możliwe jest wymuszenie na serwerze odczytu arbitralnych plików z systemu plików.
Atakujący może uzyskać nieautoryzowany dostęp do dowolnych plików na serwerze oraz naruszyć integralność systemu poprzez obejście mechanizmów bezpieczeństwa Apache InLong JDBC — wszystko to bez uwierzytelnienia i interakcji po stronie użytkownika.
Należy niezwłocznie zaktualizować Apache InLong do wersji 2.2.0. Alternatywnie można zastosować cherry-pick poprawki dostępnej w pull request: https://github.com/apache/inlong/pull/11747
Apache InLong w wersjach od 1.13.0 do 2.1.0 włącznie
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Inlong
APPApache1.13.0 – 2.2.0 (bez)
Powiązane podatności
Apache InLong: deserializacja danych — odczyt dowolnych plików
Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)
Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń
Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików
Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)