Klient HTTP Apache Uniffle domyślnie ufa wszystkim certyfikatom SSL i wyłącza weryfikację nazwy hosta, co naraża całą komunikację REST API na ataki Man-in-the-Middle. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
The Uniffle HTTP client is configured to trust all SSL certificates and disables hostname verification by default. This insecure configuration exposes all REST API communication between the Uniffle CLI/client and the Uniffle Coordinator service to potential Man-in-the-Middle (MITM) attacks. This issue affects all versions from before 0.10.0. Users are recommended to upgrade to version 0.10.0, which fixes the issue.
Klient HTTP w Apache Uniffle jest skonfigurowany tak, aby akceptować każdy certyfikat SSL bez sprawdzania jego poprawności oraz bez weryfikacji, czy nazwa hosta w certyfikacie odpowiada serwerowi docelowemu (CWE-297: Improper Validation of Certificate with Host Mismatch). Oznacza to, że atakujący znajdujący się na ścieżce sieciowej między klientem Uniffle CLI/klientem a usługą Uniffle Coordinator może podstawić własny certyfikat i przechwycić lub zmodyfikować ruch REST API. Ponieważ weryfikacja SSL jest wyłączona domyślnie, atak jest możliwy bez żadnej dodatkowej konfiguracji po stronie ofiary.
Atakujący może przechwycić oraz zmodyfikować całą komunikację REST API między klientem Uniffle a usługą Coordinator, co prowadzi do naruszenia poufności i integralności przesyłanych danych.
Należy zaktualizować Apache Uniffle do wersji 0.10.0 lub nowszej, która rozwiązuje problem poprzez właściwą weryfikację certyfikatów SSL i nazw hostów.
Wszystkie wersje Apache Uniffle przed 0.10.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Uniffle
APPApache< 0.10.0
Powiązane podatności
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia