CRITICAL🇬🇧 English

CVE-2024-55532

CSV Injection w funkcji eksportu Apache Ranger (wersje < 2.6.0)

CVSS 9.8v3.1pub. 2025-03-03upd. 2025-05-21

Apache Ranger w wersjach poniżej 2.6.0 jest podatny na atak typu CSV injection (CWE-1236) w funkcji eksportu danych do pliku CSV. Podatność może zostać wykorzystana przez nieuwierzytelnionego atakującego zdalnie, co czyni ją szczególnie niebezpieczną w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Improper Neutralization of Formula Elements in Export CSV feature of Apache Ranger in Apache Ranger Version < 2.6.0. Users are recommended to upgrade to version 2.6.0, which fixes this issue.

🤖 Analiza AI
Jak działa

Luka polega na braku właściwej neutralizacji tzw. formula elements przed umieszczeniem danych w generowanym pliku CSV. Złośliwy użytkownik może wprowadzić do systemu dane zawierające formuły lub polecenia (np. zaczynające się od znaków '=', '+', '-', '@'), które zostaną osadzone w eksportowanym pliku CSV. Gdy ofiara otworzy taki plik w arkuszu kalkulacyjnym (np. Microsoft Excel, LibreOffice Calc), aplikacja może automatycznie wykonać zawarte formuły, w tym polecenia systemowe lub odwołania do zewnętrznych zasobów.

Skutki

Atakujący może doprowadzić do wykonania złośliwego kodu na stacji roboczej ofiary otwierającej zainfekowany plik CSV, co może skutkować kradzieżą danych, naruszeniem poufności, integralności oraz dostępności zasobów użytkownika.

Mitygacja

Należy zaktualizować Apache Ranger do wersji 2.6.0 lub nowszej, która eliminuje tę podatność. Szczegóły dostępne na stronie producenta: https://cwiki.apache.org/confluence/display/RANGER/Vulnerabilities+found+in+Ranger

Kogo dotyczy

Apache Ranger we wszystkich wersjach poniżej 2.6.0

Uwagi

Pomimo oceny CVSS 9.8 (CRITICAL), faktyczny wpływ podatności CSV injection jest uzależniony od działań użytkownika (otwarcie pliku w aplikacji arkusza kalkulacyjnego) — co nie jest w pełni odzwierciedlone przez wektor CVSS wskazujący brak wymogu interakcji użytkownika (UI:N). Organizacje korzystające z funkcji eksportu CSV w Apache Ranger powinny traktować aktualizację priorytetowo.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Ranger

    APP
    Apache
    < 2.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-59059CRITICAL9.8PL ✓ten sam produkt

RCE w Apache Ranger poprzez NashornScriptEngineCreator

CVE-2024-45479CRITICAL9.1PL ✓ten sam produkt

SSRF w Apache Ranger UI — podatność na stronie edycji usług

CVE-2017-7676CRITICAL9.8ten sam produkt

Policy resource matcher in Apache Ranger before 0.7.1 ignores characters after '*' wildcard character - like m...

CVE-2016-0733CRITICAL9.8ten sam produkt

The Admin UI in Apache Ranger before 0.5.1 does not properly handle authentication requests that lack a passwo...

CVE-2021-40331HIGH8.1ten sam produkt

An Incorrect Permission Assignment for Critical Resource vulnerability was found in the Apache Ranger Hive Plu...