Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危
MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度

漏洞危害

OSCS 描述
Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计数据写到 MySQL、Elasticsearch、ClickHouse中的一个子系统。
Apache InLong 1.5.0至1.9.0版本中,由于 updateAuditSource 方法未对用户可控的参数有效过滤,攻击者可在更新 Audit source 时传入恶意的 Audit source URL 导致远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-81gu-tekl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.inlong:manager-web [1.5.0, 1.10.0) 升级 将 org.apache.inlong:manager-web 升级至 1.10.0 及以上版本
org.apache.inlong:manager-pojo [1.5.0, 1.10.0) 升级 将组件 org.apache.inlong:manager-pojo 升级至 1.10.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-81gu-tekl

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-81gu-tekl

https://nvd.nist.gov/vuln/detail/CVE-2023-51784

https://github.com/apache/inlong/issues/9328

https://github.com/apache/inlong/commit/1edaf8bb1113cfb90cd451a0830caa15d9ff08b9

(0)
上一篇 2024年1月3日 下午4:00
下一篇 2024年1月4日 下午12:00

相关推荐

  • mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

    漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广 漏洞危害 OSCS 描述 mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。 mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未…

    漏洞 2024年4月15日
    0
  • Torchserve 存在Zip Slip漏洞 (CVE-2023-48299)

    漏洞类型 相对路径遍历 发现时间 2023-11-22 漏洞等级 中危 MPS编号 MPS-boq6-8t0d CVE编号 CVE-2023-48299 漏洞影响广度 小 漏洞危害 OSCS 描述 Torchserve 是 Facebook 公司开发的深度学习模型部署框架,可用于快捷部署 pytorch 模型。 Torchserve 受影响版本中,由于 Zi…

    2023年11月23日
    0
  • Apache Superset where_in SQL注入漏洞 (CVE-2023-49736)

    漏洞类型 SQL注入 发现时间 2023-12-20 漏洞等级 中危 MPS编号 MPS-7r6y-8nmd CVE编号 CVE-2023-49736 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 Apache Superset 中存在一个名为 where_in 的 JINJA 宏,where_…

    2023年12月20日
    0
  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

    漏洞类型 通过发送数据的信息暴露 发现时间 2023-09-12 漏洞等级 中危 MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 在受影响版本中,当DAG任务运行时,由于日期解析存在缺陷,…

    2023年9月13日
    0