CRITICAL🇬🇧 English

CVE-2024-36268

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVSS 9.8v3.1pub. 2024-08-02upd. 2024-11-21

Podatność typu Code Injection w Apache InLong pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu (RCE). Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań dotyczących uwierzytelnienia i uprawnień po stronie atakującego.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability in Apache InLong. This issue affects Apache InLong: from 1.10.0 through 1.12.0, which could lead to Remote Code Execution. Users are advised to upgrade to Apache InLong's 1.13.0 or cherry-pick [1] to solve it. [1]  https://github.com/apache/inlong/pull/10251

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej kontroli generowania kodu (CWE-94 — Improper Control of Generation of Code), co umożliwia wstrzyknięcie złośliwego kodu wykonywanego przez serwer. Podatność jest dostępna zdalnie przez sieć bez konieczności posiadania konta ani interakcji użytkownika. Atak nie wymaga specjalnych warunków wstępnych (złożoność niska), co czyni go łatwym do przeprowadzenia.

Skutki

Pomyślne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu na serwerze, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych oraz naruszenia integralności i dostępności usługi.

Mitygacja

Należy zaktualizować Apache InLong do wersji 1.13.0. Alternatywnie możliwe jest selektywne zastosowanie poprawki (cherry-pick) z repozytorium GitHub: https://github.com/apache/inlong/pull/10251.

Kogo dotyczy

Apache InLong w wersjach od 1.10.0 do 1.12.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Inlong

    APP
    Apache
    1.10.0 – 1.13.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-27531CRITICAL9.8PL ✓ten sam produkt

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVE-2025-27528CRITICAL9.1PL ✓ten sam produkt

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVE-2024-26579CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVE-2024-26580CRITICAL9.1PL ✓ten sam produkt

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVE-2023-51784CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)