CRITICAL🇬🇧 English

CVE-2025-27531

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVSS 9.8v3.1pub. 2025-06-06upd. 2025-06-23

Podatność klasy deserialization of untrusted data w Apache InLong umożliwia uwierzytelnionemu atakującemu odczyt dowolnych plików na serwerze. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Apache InLong.  This issue affects Apache InLong: from 1.13.0 before 2.1.0, this issue would allow an authenticated attacker to read arbitrary files by double writing the param. Users are recommended to upgrade to version 2.1.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej deserializacji niezaufanych danych (CWE-502) w Apache InLong. Atakujący, posiadający dostęp do konta w aplikacji, może wykorzystać technikę podwójnego zapisu parametru (double writing the param), aby ominąć mechanizmy walidacji danych wejściowych. W efekcie podatna ścieżka przetwarzania deserializuje spreparowane dane, pozwalając na odczyt dowolnych plików dostępnych dla procesu serwera.

Skutki

Uwierzytelniony atakujący może odczytać dowolne pliki z systemu plików serwera, co może prowadzić do ujawnienia poufnych danych, kluczy kryptograficznych, haseł lub innych wrażliwych informacji konfiguracyjnych.

Mitygacja

Należy zaktualizować Apache InLong do wersji 2.1.0, która zawiera poprawkę eliminującą opisaną podatność.

Kogo dotyczy

Apache InLong w wersjach od 1.13.0 do 2.0.x (przed wersją 2.1.0)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Inlong

    APP
    Apache
    1.13.0 – 2.1.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-27528CRITICAL9.1PL ✓ten sam produkt

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVE-2024-36268CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26579CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVE-2024-26580CRITICAL9.1PL ✓ten sam produkt

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVE-2023-51784CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2025-27531 — Apache InLong: deserializacja danych — odczyt dowolnych plików — CRITICAL 9.8 | CVEbaza.pl