CRITICAL🇬🇧 English

CVE-2025-68637

Apache Uniffle: brak weryfikacji certyfikatów SSL umożliwia atak MITM

CVSS 9.1v3.1pub. 2026-01-07upd. 2026-01-16

Klient HTTP Apache Uniffle domyślnie ufa wszystkim certyfikatom SSL i wyłącza weryfikację nazwy hosta, co naraża całą komunikację REST API na ataki Man-in-the-Middle. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

The Uniffle HTTP client is configured to trust all SSL certificates and disables hostname verification by default. This insecure configuration exposes all REST API communication between the Uniffle CLI/client and the Uniffle Coordinator service to potential Man-in-the-Middle (MITM) attacks. This issue affects all versions from before 0.10.0. Users are recommended to upgrade to version 0.10.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Klient HTTP w Apache Uniffle jest skonfigurowany tak, aby akceptować każdy certyfikat SSL bez sprawdzania jego poprawności oraz bez weryfikacji, czy nazwa hosta w certyfikacie odpowiada serwerowi docelowemu (CWE-297: Improper Validation of Certificate with Host Mismatch). Oznacza to, że atakujący znajdujący się na ścieżce sieciowej między klientem Uniffle CLI/klientem a usługą Uniffle Coordinator może podstawić własny certyfikat i przechwycić lub zmodyfikować ruch REST API. Ponieważ weryfikacja SSL jest wyłączona domyślnie, atak jest możliwy bez żadnej dodatkowej konfiguracji po stronie ofiary.

Skutki

Atakujący może przechwycić oraz zmodyfikować całą komunikację REST API między klientem Uniffle a usługą Coordinator, co prowadzi do naruszenia poufności i integralności przesyłanych danych.

Mitygacja

Należy zaktualizować Apache Uniffle do wersji 0.10.0 lub nowszej, która rozwiązuje problem poprzez właściwą weryfikację certyfikatów SSL i nazw hostów.

Kogo dotyczy

Wszystkie wersje Apache Uniffle przed 0.10.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Uniffle

    APP
    Apache
    < 0.10.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam vendor

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2024-27348CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia