CRITICAL🇬🇧 English

CVE-2025-27528

Niebezpieczna deserializacja w Apache InLong umożliwia odczyt plików

CVSS 9.1v3.1pub. 2025-05-28upd. 2025-06-03

Apache InLong w wersjach od 1.13.0 do 2.1.0 zawiera krytyczną podatność deserializacji niezaufanych danych (CWE-502), która pozwala atakującemu na ominięcie mechanizmów bezpieczeństwa modułu JDBC. Podatność umożliwia nieautoryzowany odczyt dowolnych plików z serwera bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Apache InLong. This issue affects Apache InLong: from 1.13.0 through 2.1.0. This vulnerability allows attackers to bypass the security mechanisms of InLong JDBC and leads to arbitrary file reading. Users are advised to upgrade to Apache InLong's 2.2.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/11747

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi deserializacji danych w komponencie InLong JDBC. Atakujący wysyła spreparowane, złośliwe dane, które są deserializowane przez aplikację bez odpowiedniej walidacji ich pochodzenia i zawartości. Mechanizm deserializacji przetwarza dane wejściowe w sposób pozwalający na ominięcie wbudowanych zabezpieczeń JDBC. W efekcie możliwe jest wymuszenie na serwerze odczytu arbitralnych plików z systemu plików.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do dowolnych plików na serwerze oraz naruszyć integralność systemu poprzez obejście mechanizmów bezpieczeństwa Apache InLong JDBC — wszystko to bez uwierzytelnienia i interakcji po stronie użytkownika.

Mitygacja

Należy niezwłocznie zaktualizować Apache InLong do wersji 2.2.0. Alternatywnie można zastosować cherry-pick poprawki dostępnej w pull request: https://github.com/apache/inlong/pull/11747

Kogo dotyczy

Apache InLong w wersjach od 1.13.0 do 2.1.0 włącznie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Inlong

    APP
    Apache
    1.13.0 – 2.2.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-27531CRITICAL9.8PL ✓ten sam produkt

Apache InLong: deserializacja danych — odczyt dowolnych plików

CVE-2024-36268CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)

CVE-2024-26579CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache InLong — ominięcie zabezpieczeń

CVE-2024-26580CRITICAL9.1PL ✓ten sam produkt

Apache InLong — deserializacja danych umożliwiająca odczyt dowolnych plików

CVE-2023-51784CRITICAL9.8PL ✓ten sam produkt

Apache InLong — Code Injection umożliwiający zdalne wykonanie kodu (RCE)