Apache Camel JDBCAggregationRepository反序列化漏洞 (CVE-2024-22369)

漏洞类型 反序列化 发现时间 2024-02-20 漏洞等级 高危
MPS编号 MPS-03tm-wyhp CVE编号 CVE-2024-22369 漏洞影响广度

漏洞危害

OSCS 描述
Apache Camel 是开源的系统间数据交互集成框架。
在受影响版本中,由于对JDBCAggregationRepository中exchange的实现存在未限制的反序列化逻辑,当攻击者可控制数据库中exchange字段值时,可以反序列化任意类,造成任意代码执行。
在修复版本中,通过校验逻辑限制其仅允许反序列化java及camel自身类。
参考链接:https://www.oscs1024.com/hd/MPS-03tm-wyhp

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.camel:camel-sql [3.0.0, 3.21.4) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [3.22.0, 3.22.1) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [4.0.0, 4.0.4) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [4.1.0, 4.4.0) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-03tm-wyhp

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-03tm-wyhp

https://issues.apache.org/jira/browse/CAMEL-20303

https://www.cve.org/CVERecord?id=CVE-2024-22369

https://lists.apache.org/thread/3dko781dy2gy5l3fs48p56fgp429yb0f

(0)
上一篇 2024年2月16日 下午12:00
下一篇 2024年2月20日 下午8:00

相关推荐

  • LangChain 远程代码执行漏洞 (CVE-2024-28088)

    漏洞类型 相对路径遍历 发现时间 2024-03-04 漏洞等级 中危 MPS编号 MPS-o9uw-a2dr CVE编号 CVE-2024-28088 漏洞影响广度 小 漏洞危害 OSCS 描述 LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架,支持配置不同的链调用。langchain-experimental是一个用于研究和…

    2024年3月6日
    0
  • WinRAR<6.23 远程代码执行漏洞 (CVE-2023-40477) [有POC]

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-5gjf-qwc6 CVE编号 CVE-2023-40477 漏洞影响广度 广 漏洞危害 OSCS 描述 WinRAR 是一款适用于 Windows 系统的压缩包管理器,其恢复卷功能用于修复损坏或丢失的压缩文件数据。 WinRAR 6.23之前版本的恢复卷功能未对用户提供…

    2023年8月22日
    0
  • Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

    漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计…

    2024年1月4日
    0
  • Windows Kerberos 安全特性绕过漏洞 (CVE-2024-20674)

    漏洞类型 身份验证不当 发现时间 2024-01-10 漏洞等级 严重 MPS编号 MPS-srj4-gu7x CVE编号 CVE-2024-20674 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Windows Kerberos 是一个用于在网络集群中进行身份验证的软件。 Windows Kerberos 存在一个安全功能绕过漏洞。拥有…

    2024年1月10日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月25日
    0