Apache InLong w wersjach od 1.7.0 do 1.11.0 zawiera krytyczną podatność polegającą na deserializacji niezaufanych danych (CWE-502). Atakujący może ominąć istniejące zabezpieczenia przy użyciu złośliwie spreparowanych parametrów, co zagraża poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Apache InLong.This issue affects Apache InLong: from 1.7.0 through 1.11.0, the attackers can bypass using malicious parameters. Users are advised to upgrade to Apache InLong's 1.12.0 or cherry-pick [1], [2] to solve it. [1] https://github.com/apache/inlong/pull/9694 [2] https://github.com/apache/inlong/pull/9707
Podatność wynika z nieprawidłowej obsługi deserializacji danych wejściowych w Apache InLong. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może przesłać złośliwe parametry, które omijają mechanizmy ochrony przed niebezpieczną deserializacją. Przetworzenie takich danych przez aplikację może prowadzić do wykonania niezamierzonego kodu lub manipulacji stanem systemu.
Skuteczne wykorzystanie podatności umożliwia atakującemu pełne przejęcie kontroli nad aplikacją — w tym uzyskanie nieautoryzowanego dostępu do danych (C:H), modyfikację danych lub konfiguracji (I:H) oraz zakłócenie dostępności usługi (A:H).
Należy zaktualizować Apache InLong do wersji 1.12.0 lub zastosować poprawki wskazane przez producenta w pull requestach: https://github.com/apache/inlong/pull/9694 oraz https://github.com/apache/inlong/pull/9707.
Apache InLong w wersjach od 1.7.0 do 1.11.0 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Inlong
APPApache1.7.0 – 1.12.0 (bez)
Powiązane podatności
Apache InLong: deserializacja danych — odczyt dowolnych plików
Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików
Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)
Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików
Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)