CRITICAL🇬🇧 English

CVE-2023-51389

Apache Hertzbeat — YAML deserialization w endpoincie /define/yml

CVSS 9.8v3.1pub. 2024-02-22upd. 2025-01-16

Apache Hertzbeat zawiera krytyczną podatność deserializacji danych w endpoincie `/define/yml`, gdzie biblioteka SnakeYAML przetwarza treść YAML bez bezpiecznej konfiguracji. Umożliwia to nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze.

Pokaż oryginał (EN)

Hertzbeat is a real-time monitoring system. At the interface of `/define/yml`, SnakeYAML is used as a parser to parse yml content, but no security configuration is used, resulting in a YAML deserialization vulnerability. Version 1.4.1 fixes this vulnerability.

🤖 Analiza AI
Jak działa

Endpoint `/define/yml` przyjmuje dane YAML i przekazuje je do parsera SnakeYAML bez zastosowania jakichkolwiek mechanizmów bezpieczeństwa, takich jak ograniczenie dozwolonych typów. Atakujący może dostarczyć spreparowany payload YAML zawierający odwołania do niebezpiecznych klas Java, których inicjalizacja podczas deserializacji prowadzi do wykonania arbitralnego kodu. Podatność jest dostępna sieciowo bez konieczności uwierzytelnienia i bez interakcji użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym wykonać dowolne polecenia systemowe, odczytać lub zmodyfikować dane oraz doprowadzić do niedostępności usługi.

Mitygacja

Należy zaktualizować Apache Hertzbeat do wersji 1.4.1, która eliminuje podatność poprzez zastosowanie bezpiecznej konfiguracji parsera SnakeYAML.

Kogo dotyczy

Apache Hertzbeat w wersjach wcześniejszych niż 1.4.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Hertzbeat

    APP
    Apache
    < 1.4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2023-51653CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — JNDI injection RCE przez endpoint JMX

CVE-2023-51388CRITICAL9.8PL ✓ten sam produkt

Apache Hertzbeat — script injection via AviatorEvaluator (RCE)

CVE-2026-24343HIGH8.8ten sam produkt

Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat...

CVE-2025-24404HIGH8.8ten sam produkt

XML Injection RCE by parse http sitemap xml response vulnerability in Apache HertzBeat. The attack...

CVE-2025-48208HIGH8.8ten sam produkt

Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache H...