CRITICAL🇬🇧 English

CVE-2024-26579

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVSS 9.8v3.1pub. 2024-05-08upd. 2025-03-28

Apache InLong w wersjach od 1.7.0 do 1.11.0 zawiera krytyczną podatność polegającą na deserializacji niezaufanych danych (CWE-502). Atakujący może ominąć istniejące zabezpieczenia przy użyciu złośliwie spreparowanych parametrów, co zagraża poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Apache InLong.This issue affects Apache InLong: from 1.7.0 through 1.11.0,  the attackers can bypass using malicious parameters. Users are advised to upgrade to Apache InLong's 1.12.0 or cherry-pick [1], [2] to solve it. [1] https://github.com/apache/inlong/pull/9694 [2]  https://github.com/apache/inlong/pull/9707

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi deserializacji danych wejściowych w Apache InLong. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może przesłać złośliwe parametry, które omijają mechanizmy ochrony przed niebezpieczną deserializacją. Przetworzenie takich danych przez aplikację może prowadzić do wykonania niezamierzonego kodu lub manipulacji stanem systemu.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu pełne przejęcie kontroli nad aplikacją — w tym uzyskanie nieautoryzowanego dostępu do danych (C:H), modyfikację danych lub konfiguracji (I:H) oraz zakłócenie dostępności usługi (A:H).

Mitygacja

Należy zaktualizować Apache InLong do wersji 1.12.0 lub zastosować poprawki wskazane przez producenta w pull requestach: https://github.com/apache/inlong/pull/9694 oraz https://github.com/apache/inlong/pull/9707.

Kogo dotyczy

Apache InLong w wersjach od 1.7.0 do 1.11.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Inlong

    APP
    Apache
    1.7.0 – 1.12.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-27531CRITICAL9.8PL ✓ten sam produkt

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVE-2025-27528CRITICAL9.1PL ✓ten sam produkt

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVE-2024-36268CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26580CRITICAL9.1PL ✓ten sam produkt

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVE-2023-51784CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)