W systemie monitorowania Apache Hertzbeat wykryto krytyczną podatność typu script injection, umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia. Wynika ona z braku polityki bezpieczeństwa przy bezpośrednim wykonywaniu wyrażeń AviatorScript.
▸ Pokaż oryginał (EN)
Hertzbeat is a real-time monitoring system. In `CalculateAlarm.java`, `AviatorEvaluator` is used to directly execute the expression function, and no security policy is configured, resulting in AviatorScript (which can execute any static method by default) script injection. Version 1.4.1 fixes this vulnerability.
W pliku `CalculateAlarm.java` komponent `AviatorEvaluator` wykonuje wyrażenia przekazane jako dane wejściowe bez żadnych ograniczeń bezpieczeństwa. Silnik AviatorScript domyślnie umożliwia wywoływanie dowolnych statycznych metod Javy, co oznacza, że atakujący może wstrzyknąć złośliwe wyrażenie i wykonać arbitralny kod na poziomie systemu operacyjnego. Brak konfiguracji polityki bezpieczeństwa (sandbox) sprawia, że exploit jest trywialny do przeprowadzenia zdalnie, bez uwierzytelnienia.
Atakujący może zdalnie wykonać dowolny kod na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad systemem, ujawnienia danych, modyfikacji konfiguracji lub całkowitego naruszenia dostępności usługi.
Należy zaktualizować Apache Hertzbeat do wersji 1.4.1, która eliminuje tę podatność poprzez wprowadzenie odpowiedniej polityki bezpieczeństwa dla AviatorEvaluator. Szczegóły patcha dostępne w referencjach producenta na GitHub.
Apache Hertzbeat w wersjach poprzedzających 1.4.1
Podatność została naprawiona w wersji 1.4.1. Szczegóły techniczne oraz commit naprawczy dostępne w repozytorium projektu na GitHub (GHSA-mcqg-gqxr-hqgj).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Hertzbeat
APPApache< 1.4.1
Powiązane podatności
Apache Hertzbeat — JNDI injection RCE przez endpoint JMX
Apache Hertzbeat — YAML deserialization w endpoincie /define/yml
Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat...
XML Injection RCE by parse http sitemap xml response vulnerability in Apache HertzBeat. The attack...
Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache H...